Рекомендация Debian по безопасности

DSA-3502-1 roundup -- обновление безопасности

Дата сообщения:
03.03.2016
Затронутые пакеты:
roundup
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-6276.
Более подробная информация:

Ральф Шлаттербек обнаружил утечку информации в roundup, веб-системе отслеживания проблем. Аутентифицированный злоумышленник может использовать её для просмотра чувствительных данных о других пользователях, включая их хэшированые пароли.

После применения данного обновления, которое исправляет поставляемые шаблоны, администратор сайта должен убедиться, что также обновлены и используемые версии (обычно в /var/lib/roundup), следует либо вручную применить к ним заплату, либо создать их заново.

Дополнительную информацию можно найти в документации из основной ветки разработки по адресу http://www.roundup-tracker.org/docs/upgrading.html#user-data-visibility

В предыдущем стабильном выпуске (wheezy) эта проблема была исправлена в версии 1.4.20-1.1+deb7u1.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 1.4.20-1.1+deb8u1.

В тестируемом (stretch) и нестабильном (sid) выпусках эта проблема пока не исправлена.

Рекомендуется обновить пакеты roundup.