Säkerhetsbulletin från Debian

DSA-3942-1 supervisor -- säkerhetsuppdatering

Rapporterat den:
2017-08-13
Berörda paket:
supervisor
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 870187.
I Mitres CVE-förteckning: CVE-2017-11610.
Ytterligare information:

Calum Hutton rapporterade att XML-RPC-servern i supervisor, ett system för kontroll av processlägen, inte utför validering på efterfrågade XML-RPC-metoder, vilket tillåter en autentiserad klient att skicka en illasinnad XML-RPC-förfrågan till supervisord som kommer att köra godtyckliga skalkommandon på servern som samma användare som supervisord.

Sårbarheten rättas genom att inaktivera nästlad namnrymdslookup fullständigt. supervisord kommer nu endast att anropa metoder på objekt som registrerats för att hantera XML-RPC-förfrågningar och inte några underobjekt som det kan tänkas innehålla, vilket möjligen kan göra att existerande setups slutar fungera. Inga publikt tillgängliga tilläggsmoduler är för närvarande kända att använda nästlade namnrymder. Tilläggsmoduler som använder en enstaka namnrymd kommer att fortsätta fungera precis som tidigare. Detaljer kan hittas vid uppströmsfelrapporten på https://github.com/Supervisor/supervisor/issues/964.

För den gamla stabila utgåvan (Jessie) har detta problem rättats i version 3.0r1-1+deb8u1.

För den stabila utgåvan (Stretch) har detta problem rättats i version 3.3.1-1+deb9u1.

Vi rekommenderar att ni uppgraderar era supervisor-paket.