Рекомендация Debian по безопасности

DLA-70-1 tryton-server -- обновление безопасности LTS

Дата сообщения:
05.10.2014
Затронутые пакеты:
tryton-server
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-6633.
Более подробная информация:

duesenfranz обнаружил, что функция safe_eval в trytond может использоваться для выполнения произвольных команд (в основном в интерфейсе webdav). Применённая заплата не позволяет использовать двойное подчёркивание в safe_eval, и позволяет избежать двойного вычисления из наследования с другой моделью.

В Debian 6 Squeeze эти проблемы были исправлены в пакете tryton-server версии 1.6.1-2+squeeze2