Рекомендация Debian по безопасности
DLA-394-1 passenger -- обновление безопасности LTS
- Дата сообщения:
- 18.01.2016
- Затронутые пакеты:
- passenger
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2015-7519.
- Более подробная информация:
-
agent/Core/Controller/SendRequest.cpp в Phusion Passenger до версии 4.0.60 и в ветке 5.0.x до версии 5.0.22 при использовании в режиме интеграции с Apache или в самостоятельном режиме без использования фильтрующего прокси позволяют удалённым злоумышленникам подделывать заголовки, передаваемые приложениям с использованием символа _ (подчёркивание) вместо символа - (тире) в заголовке HTTP, как это продемонстировано заголовком X_User.