Bulletin d'alerte Debian

DLA-408-1 gosa -- Mise à jour de sécurité pour LTS

Date du rapport :
31 janvier 2016
Paquets concernés :
gosa
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-8771.
Plus de précisions :

GOsa est le regroupement d'une interface web commune d’administration système et d’utilisateur final pour gérer les configurations basées sur LDAP.

L’amont de GOsa a signalé une vulnérabilité d’injection de code dans le code du greffon de Gosa pour Samba. Lors des modifications des mots de passe pour Samba, il était possible d’injecter du code Perl malveillant.

Cet envoi pour Debian Squeeze LTS corrige ce problème. Cependant, si vous mettez à niveau vers cette révision corrigée du paquet, veuillez noter que les modifications des mots de passe pour Samba ne fonctionneront plus jusqu’à ce que le paramètre sambaHashHook dans gosa.conf ait été mis à jour pour accepter les chaînes de mot de passe encodées base64 du code PHP de GOsa.

Veuillez consulter /usr/share/doc/gosa/NEWS.gz et la page de manuel de gosa.conf (5) après la mise à niveau vers cette révision de paquet et adapter gosa.conf comme décrit.