Debians sikkerhedsbulletin

DSA-2259-1 fex -- autentificeringsomgåelse

Rapporteret den:
12. jun 2011
Berørte pakker:
fex
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2011-1409.
Yderligere oplysninger:

Man opdagede at F*EX, en webservice til overførsel meget store filer, ikke validererede autentificerings-id'er tilstrækkeligt. Mens servien på korrekt vis validerede eksisterende autentificerings-id'er, kunne en angirber, der ikke angav en specifik autenficierings-id overhovedet, omgå autentificeringsproceduren.

Den gamle stabile distribution (lenny) indeholder ikke fex.

I den stabile distribution (squeeze), er dette problem rettet i version 20100208+debian1-1+squeeze1.

I distributionen testing (wheezy), vil dette problem snart blive rettet.

I den ustabile distribution (sid), er dette problem rettet i version 20110610-1.

Vi anbefaler at du opgraderer dine fex-pakker.