sosのバグ修正アップデート

重大な1つのバグを修正したsosのアップデートパッケージが利用可能になりました。

SOSは、システムハードウェアと構成に関する情報を収集するツールセットです。得られた情報は、診断やデバッグに利用できます。SOSは通常、技術者や開発者をサポートするためのツールとして利用されます。

このアップデートパッケージでは、次のバグが修正されています。

sysreportユーティリティがシステム管理者によって入力されたレポートケース番号をチェックしていませんでした。ケース番号として値が提供されなかった場合、sysreportは2つの環境変数$LOGNAMEと$HOSTNAMEから値を取得します。システム管理者によって値が入力された場合、環境変数より得られたこれら2つの値のチェックされていませんでした。

ケース番号の入力を促すプロンプトが表示された状態で、" / "（空白文字を両サイドに持つスラッシュ）のような無効な値がシステム管理者によって入力されると、sysreportスクリプトは再帰的に全てのディレクトリを削除しようとします。

発生する可能性は希有ですが、ケース番号が入力されず環境変数$HOSTNAMEから得られた値が無効だった場合にも、再帰的に全てのディレクトリを削除しようとする可能性が同様にあります。

このアップデートパッケージでは、ケース番号の妥当性検証が追加されます。システム管理者によりケース番号として数字以外の文字が含まれる値が入力された場合、その値は拒否され'input contains non-numeric characters!'というアラートが表示されます。

ケース番号が入力されなかった場合、スクリプトは空白文字やスラッシュを含まないショート・ホストネームからケース番号を取得します。

全てのsosユーザは、これらの問題を解決する上記アップデートパッケージにアップグレードしてください。

このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。

このアップデートは、Red Hat Networkを通じて入手できます。

424161 - Tricking sysreport into running 'rm -rf /' critical data loss