Debians sikkerhedsbulletin

DLA-408-1 gosa -- LTS-sikkerhedsopdatering

Rapporteret den:
31. jan 2016
Berørte pakker:
gosa
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2015-8771.
Yderligere oplysninger:

GOsa er en kombination af systemadministrator- og slutbrugerwebgrænseflade, beregnet til at håndtere LDAP-baserede opsætninger.

Opstrøms-GOsa rapporterede om en kodeindsprøjtningssårbarhed i Samba-pluginkoden i GOsa. Under Samba-adgangskodeændringer, var det muligt at indsprøjte ondsindet Perl-kode.

Denne upload til Debian Squeeze LTS retter problemerne. Men hvis man opgraderer til denne rettede pakke, så bemærk at Samba-adgangskodeændringer ikke vil fungere før parameteret sambaHashHook i gosa.conf er blevet opdateret til at acceptere base64-indkapslede strenge fra GOsas PHP-kode.

Læs /usr/share/doc/gosa/NEWS.gz og mansiden gosa.conf (5), efter du har opgraderet til denne pakke, samt tilpas gosa.conf som beskrevet deri.