Bulletin d'alerte Debian

DLA-2545-1 open-build-service -- Mise à jour de sécurité pour LTS

Date du rapport :
3 février 2021
Paquets concernés :
open-build-service
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-8020, CVE-2020-8021.
Plus de précisions :
  • CVE-2020-8020

    Une vulnérabilité de neutralisation incorrecte d’entrée lors de la génération de page web dans open-build-service permet à des attaquants distants de stocker du code JavaScript arbitraire pour un attaque XSS.

  • CVE-2020-8021

    Une vulnérabilité de contrôle d’accès incorrect dans open-build-service permet à des attaquants distants de lire des fichiers d’un paquet OBS où sourceaccess/access est désactivé.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 2.7.1-10+deb9u1.

Nous vous recommandons de mettre à jour vos paquets open-build-service.

Pour disposer d'un état détaillé sur la sécurité de open-build-service, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/open-build-service.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.