Debian セキュリティ勧告

DLA-70-1 tryton-server -- LTS セキュリティ更新

報告日時:
2014-10-05
影響を受けるパッケージ:
tryton-server
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2014-6633.
詳細:

duesenfranz さんが、trytond の safe_eval を悪用し、主に webdav インターフェイスを経由して任意のコマンドを実行できることを発見しました。 適用されたパッチにより、safe_eval では二重のアンダースコアを許可しないことで、 異なるモデルから引き継いで二重に評価してしまうのを回避します。

Debian 6Squeezeでは、この問題は tryton-server バージョン 1.6.1-2+squeeze2 で修正されています。