Рекомендация Debian по безопасности

DLA-408-1 gosa -- обновление безопасности LTS

Дата сообщения:
31.01.2016
Затронутые пакеты:
gosa
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-8771.
Более подробная информация:

GOsa представляет собой комбинацию веб-интерфейса системного администратора и конечного пользователя, которая разработана для обслуживания систем на основе LDAP.

Разработчики основной ветки GOsa сообщили о возможности инъекции кода в коде дополнения Samba для GOsa. Во время изменения пароля в Samba можно ввести код на языке Perl.

Данное обновление Debian Squeeze LTS исправляет эту проблему. Тем не менее, если вы выполнили обновление до этой редакции пакета, обратите внимание на то, что возможность изменения пароля Samba перестанет работать до тех пор, пока параметр sambaHashHook в gosa.conf не будет обновлён так, чтобы от PHP-кода GOsa можно было принимать закодированные в base64 парольные строки.

После обновления пакета обратитесь к /usr/share/doc/gosa/NEWS.gz и странице руководства gosa.conf (5), а также измените gosa.conf соответствующим образом.