Bulletin d'alerte Debian

DLA-1427-1 znc -- Mise à jour de sécurité pour LTS

Date du rapport :
15 juillet 2018
Paquets concernés :
znc
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-14055, CVE-2018-14056.
Plus de précisions :

Deux problèmes existaient dans znc, un mandataire (bouncer) IRC modulaire.

  • Validation insuffisante de lignes provenant du réseau, permettant à un utilisateur non administrateur d’augmenter ses droits et d’injecter des valeurs indésirables dans znc.conf (CVE-2018-14055).
  • Vulnérabilité de traversée de répertoires (à l’aide de « ../ » embarqué dans un nom d’habillage) pour accéder à des fichiers hors du répertoire autorisé (CVE-2018-14056).

Pour Debian 8 Jessie, ces problèmes ont été résolus dans la version 1.4-2+deb8u1 de znc.

Nous vous recommandons de mettre à jour vos paquets znc.