Bulletin d'alerte Debian

DLA-403-1 radicale -- Mise à jour de sécurité pour LTS

Date du rapport :
26 janvier 2016
Paquets concernés :
radicale
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 809920.
Dans le dictionnaire CVE du Mitre : CVE-2015-8747, CVE-2015-8748.
Plus de précisions :

Plusieurs problèmes ont été découverts par Unrud dans Radicale, un serveur de carnet d'adresses et de calendrier. Un attaquant distant pourrait exploiter ces vulnérabilités et appeler des fonctions arbitraires en envoyant des requêtes HTTP contrefaites.

  • CVE-2015-8748

    Prévention d’injection d’expression rationnelle dans la gestion des droits. Prévention de requête HTTP contrefaite appelant des fonctions arbitraires.

  • CVE-2015-8747

    Le dorsal pour de multiples systèmes de fichiers permet l’accès à des fichiers arbitraires sur toutes les plateformes (Squeeze n’est pas affecté parce que ce dorsal n’existe pas dans cette version).

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 0.3-2+deb6u1.

Nous vous recommandons de mettre à jour vos paquets radicale.