Debian セキュリティ勧告
DLA-70-1 tryton-server -- LTS セキュリティ更新
- 報告日時:
- 2014-10-05
- 影響を受けるパッケージ:
- tryton-server
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2014-6633.
- 詳細:
-
duesenfranz さんが、trytond の safe_eval を悪用し、主に webdav インターフェイスを経由して任意のコマンドを実行できることを発見しました。 適用されたパッチにより、safe_eval では二重のアンダースコアを許可しないことで、 異なるモデルから引き継いで二重に評価してしまうのを回避します。
Debian 6
Squeeze
では、この問題は tryton-server バージョン 1.6.1-2+squeeze2 で修正されています。