Bulletin d'alerte Debian
DLA-1427-1 znc -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 15 juillet 2018
- Paquets concernés :
- znc
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2018-14055, CVE-2018-14056.
- Plus de précisions :
-
Deux problèmes existaient dans znc, un mandataire (bouncer) IRC modulaire.
- Validation insuffisante de lignes provenant du réseau, permettant à un utilisateur non administrateur d’augmenter ses droits et d’injecter des valeurs indésirables dans znc.conf (CVE-2018-14055).
- Vulnérabilité de traversée de répertoires (à l’aide de « ../ » embarqué dans un nom d’habillage) pour accéder à des fichiers hors du répertoire autorisé (CVE-2018-14056).
Pour Debian 8
Jessie
, ces problèmes ont été résolus dans la version 1.4-2+deb8u1 de znc.Nous vous recommandons de mettre à jour vos paquets znc.