LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1988-1 ampache

Bulletin d'alerte Debian

DLA-1988-1 ampache -- Mise à jour de sécurité pour LTS

Date du rapport :

11 novembre 2019

Paquets concernés :

ampache

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2019-12385, CVE-2019-12386.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Ampache, un système de gestion de fichiers audio basé sur le web.

• CVE-2019-12385

  Le moteur de recherche est sujet à une injection SQL, aussi n’importe quel utilisateur pouvant réaliser des recherches lib/class/search.class.php (même les utilisateurs invités) peuvent copier n’importe quelles données contenues dans la base de données (sessions, mots de passe chiffrés, etc.). Cela pourrait conduire à une compromission totale des comptes administrateur lorsque cela est combiné avec l’algorithme de génération de mot de passe faible utilisé dans la fonction lostpassword.

• CVE-2019-12386

  Un script intersite (XSS) stocké existe dans la fonctionnalité LocalPlay ajout d’une instance de fonction de localplay.php . Le code injecté est réfléchi dans le menu d’instances. Cette vulnérabilité peut être mal utilisée pour forcer un administrateur à créer un nouvel utilisateur privilégié dont les accréditations sont connues par l’attaquant.

  Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 3.6-rzb2752+dfsg-5+deb8u1.

  Nous vous recommandons de mettre à jour vos paquets ampache.

  Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.