Debian Long Term Support / LTS Security Information / 2016 / Sikkerhedsoplysninger -- DLA-403-1 radicale

Debians sikkerhedsbulletin

DLA-403-1 radicale -- LTS-sikkerhedsopdatering

Rapporteret den:

26. jan 2016

Berørte pakker:

radicale

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 809920.
I Mitres CVE-ordbog: CVE-2015-8747, CVE-2015-8748.

Yderligere oplysninger:

Flere problemer er opdaget af Unrud i Radicale, en kalender- og adressebogsserver. En fjernangriber kunne udnytte sårbarhederne og kalde vilkårlige funktioner ved at sende fabrikerede HTTP-forespørgsler.

• CVE-2015-8748

  Forhindrer regex-indsprøjtning i rettighedshåndtering. Forhindrer fabrikerede HTTP-forespørgsler i at kalde vilkårlige funktioner/p>

• CVE-2015-8747

  Backend'en multifilesystem tillod tilgang til vilkårlige filer på alle platforme. (Squeeze er ikke påvirket fordi backend'en multifilesystem ikke findes i denne version.)

I Debian 6 Squeeze, er disse problemer rettet i version 0.3-2+deb6u1.

Vi anbefaler at du opgraderer dine radicale-pakker.