Debian セキュリティ勧告

DSA-3013-1 s3ql -- セキュリティ更新

報告日時:
2014-08-27
影響を受けるパッケージ:
s3ql
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2014-0485.
詳細:

Nikolaus Rath さんが、オンラインデータストレージ向けファイルシステム s3ql が Python プログラミング言語の pickle 機能を安全でない方法により利用していることを発見しました。結果として、 悪意のあるストレージバックエンドや中間の攻撃者が任意のコードを実行可能でした。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1.11.1-3+deb7u1 で修正されています。

直ちに s3ql パッケージをアップグレードすることを勧めます。