Рекомендация Debian по безопасности
DLA-70-1 tryton-server -- обновление безопасности LTS
- Дата сообщения:
- 05.10.2014
- Затронутые пакеты:
- tryton-server
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2014-6633.
- Более подробная информация:
-
duesenfranz обнаружил, что функция safe_eval в trytond может использоваться для выполнения произвольных команд (в основном в интерфейсе webdav). Применённая заплата не позволяет использовать двойное подчёркивание в safe_eval, и позволяет избежать двойного вычисления из наследования с другой моделью.
В Debian 6
Squeeze
эти проблемы были исправлены в пакете tryton-server версии 1.6.1-2+squeeze2