Debians sikkerhedsbulletin
DLA-394-1 passenger -- LTS-sikkerhedsopdatering
- Rapporteret den:
- 18. jan 2016
- Berørte pakker:
- passenger
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2015-7519.
- Yderligere oplysninger:
-
agent/Core/Controller/SendRequest.cpp i Phusion Passenger før 4.0.60 og 5.0.x før 5.0.22, ved brug i Apaches integrationstilstand eller i alenestående tilstand uden en filtrerende proxy, gjorde det muligt for fjernangribere at forfalske headere overført til applikationer ved at benytte tegnet _ (understrengning) i stedet for tegnet - (bindestreg) i en HTTP-header, som demonstreret af med en X_User-header.