LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2017 / Informations sur la sécurité -- DLA-1046-1 lucene-solr

Bulletin d'alerte Debian

DLA-1046-1 lucene-solr -- Mise à jour de sécurité pour LTS

Date du rapport :

30 juillet 2017

Paquets concernés :

lucene-solr

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 867712.
Dans le dictionnaire CVE du Mitre : CVE-2017-3163.

Plus de précisions :

Le gestionnaire lucene-solr prend en charge une API HTTP (/replication?command=filecontent&file=<file_name>) qui est vulnérable à une attaque par traversée de répertoires. Particulièrement, cette API ne réalise aucune validation de l’utilisateur précisé dans le paramètre file_name. Cela peut permettre à un attaquant de télécharger un fichier lisible par le processus de serveur Solr, même si cela ne concerne pas l’état réel de l’index Solr.

Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 3.6.0+dfsg-1+deb7u2.

Nous vous recommandons de mettre à jour vos paquets lucene-solr.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.