LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2018 / Informations sur la sécurité -- DLA-1427-1 znc

Bulletin d'alerte Debian

DLA-1427-1 znc -- Mise à jour de sécurité pour LTS

Date du rapport :

15 juillet 2018

Paquets concernés :

znc

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-14055, CVE-2018-14056.

Plus de précisions :

Deux problèmes existaient dans znc, un mandataire (bouncer) IRC modulaire.

• Validation insuffisante de lignes provenant du réseau, permettant à un utilisateur non administrateur d’augmenter ses droits et d’injecter des valeurs indésirables dans znc.conf (CVE-2018-14055).
• Vulnérabilité de traversée de répertoires (à l’aide de « ../ » embarqué dans un nom d’habillage) pour accéder à des fichiers hors du répertoire autorisé (CVE-2018-14056).

Pour Debian 8 Jessie, ces problèmes ont été résolus dans la version 1.4-2+deb8u1 de znc.

Nous vous recommandons de mettre à jour vos paquets znc.