Debians sikkerhedsbulletin

DLA-403-1 radicale -- LTS-sikkerhedsopdatering

Rapporteret den:
26. jan 2016
Berørte pakker:
radicale
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 809920.
I Mitres CVE-ordbog: CVE-2015-8747, CVE-2015-8748.
Yderligere oplysninger:

Flere problemer er opdaget af Unrud i Radicale, en kalender- og adressebogsserver. En fjernangriber kunne udnytte sårbarhederne og kalde vilkårlige funktioner ved at sende fabrikerede HTTP-forespørgsler.

  • CVE-2015-8748

    Forhindrer regex-indsprøjtning i rettighedshåndtering. Forhindrer fabrikerede HTTP-forespørgsler i at kalde vilkårlige funktioner/p>

  • CVE-2015-8747

    Backend'en multifilesystem tillod tilgang til vilkårlige filer på alle platforme. (Squeeze er ikke påvirket fordi backend'en multifilesystem ikke findes i denne version.)

I Debian 6 Squeeze, er disse problemer rettet i version 0.3-2+deb6u1.

Vi anbefaler at du opgraderer dine radicale-pakker.