LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2014 / Informations sur la sécurité -- DLA-70-1 tryton-server

Bulletin d'alerte Debian

DLA-70-1 tryton-server -- Mise à jour de sécurité pour LTS

Date du rapport :

5 octobre 2014

Paquets concernés :

tryton-server

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-6633.

Plus de précisions :

duesenfranz a découvert que safe_eval dans trytond pourrait être utilisé pour exécuter des commandes arbitraires, principalement à l’aide de l’interface webdav. Les correctifs appliqués n’autorisent pas les traits souscrits doublés (double underscore) dans safe_eval et évitent une double évaluation à partir d’héritage avec un modèle différent.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans tryton-server, version 1.6.1-2+squeeze2.