Рекомендация Debian по безопасности

DLA-394-1 passenger -- обновление безопасности LTS

Дата сообщения:
18.01.2016
Затронутые пакеты:
passenger
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-7519.
Более подробная информация:

agent/Core/Controller/SendRequest.cpp в Phusion Passenger до версии 4.0.60 и в ветке 5.0.x до версии 5.0.22 при использовании в режиме интеграции с Apache или в самостоятельном режиме без использования фильтрующего прокси позволяют удалённым злоумышленникам подделывать заголовки, передаваемые приложениям с использованием символа _ (подчёркивание) вместо символа - (тире) в заголовке HTTP, как это продемонстировано заголовком X_User.