Рекомендация Debian по безопасности

DSA-3942-1 supervisor -- обновление безопасности

Дата сообщения:
13.08.2017
Затронутые пакеты:
supervisor
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 870187.
В каталоге Mitre CVE: CVE-2017-11610.
Более подробная информация:

Колум Хаттон сообщил, что сервер XML-RPC в supervisor, системе для управления состояниями процессов, неправильно выполняет проверку запрашиваемых методов XML-RPC, позволяя аутентифицированному клиенту отправлять вредоносные запросы XML-RPC службе supervisord, что приводит к запуску произвольных команд командной оболочки на сервере от лица пользователя, запустившего supervisord.

Эта уязвимость была исправлена путём полного отключения поиска по вложенным пространствам имён. Служба supervisord будет вызывать только методы, зарегистрированные на объекте для обработки запросов XML-RPC, а не на любом дочернем объекте, который может содержаться в нём. Вероятно, это проведёт к поломке определённых настроек. В настоящее время ничего не известно о дополнениях, использующих вложенные пространства имён. Дополнения, использующие одно пространство имён, продолжат работать как и раньше. Подробности можно найти в сообщении о проблеме в основной ветке разработки по адресу https://github.com/Supervisor/supervisor/issues/964 .

В предыдущем стабильном выпуске (jessie) эта проблема была исправлена в версии 3.0r1-1+deb8u1.

В стабильном выпуске (stretch) эта проблема была исправлена в версии 3.3.1-1+deb9u1.

Рекомендуется обновить пакеты supervisor.