Debians sikkerhedsbulletin
DSA-2259-1 fex -- autentificeringsomgåelse
- Rapporteret den:
- 12. jun 2011
- Berørte pakker:
- fex
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2011-1409.
- Yderligere oplysninger:
-
Man opdagede at F*EX, en webservice til overførsel meget store filer, ikke validererede autentificerings-id'er tilstrækkeligt. Mens servien på korrekt vis validerede eksisterende autentificerings-id'er, kunne en angirber, der ikke angav en specifik autenficierings-id overhovedet, omgå autentificeringsproceduren.
Den gamle stabile distribution (lenny) indeholder ikke fex.
I den stabile distribution (squeeze), er dette problem rettet i version 20100208+debian1-1+squeeze1.
I distributionen testing (wheezy), vil dette problem snart blive rettet.
I den ustabile distribution (sid), er dette problem rettet i version 20110610-1.
Vi anbefaler at du opgraderer dine fex-pakker.