Debians sikkerhedsbulletin

DLA-394-1 passenger -- LTS-sikkerhedsopdatering

Rapporteret den:
18. jan 2016
Berørte pakker:
passenger
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2015-7519.
Yderligere oplysninger:

agent/Core/Controller/SendRequest.cpp i Phusion Passenger før 4.0.60 og 5.0.x før 5.0.22, ved brug i Apaches integrationstilstand eller i alenestående tilstand uden en filtrerende proxy, gjorde det muligt for fjernangribere at forfalske headere overført til applikationer ved at benytte tegnet _ (understrengning) i stedet for tegnet - (bindestreg) i en HTTP-header, som demonstreret af med en X_User-header.