LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2021 / Informations sur la sécurité -- DLA-2595-1 velocity

Bulletin d'alerte Debian

DLA-2595-1 velocity -- Mise à jour de sécurité pour LTS

Date du rapport :

17 mars 2021

Paquets concernés :

velocity

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2020-13936.

Plus de précisions :

Il a été découvert qu’il existait une vulnérabilité d’exécution potentielle de code arbitraire dans velocity, un moteur de patron basé sur Java pour écrire des applications web. Elle pourrait être exploitée par des applications qui permettent à des utilisateurs de téléverser ou de modifier des patrons.

• CVE-2020-13936

  Un attaquant qui est capable de modifier des patrons de Velocity peut exécuter du code Java arbitraire ou des commandes de système arbitraires avec les mêmes privilèges que le compte exécutant le conteneur du servlet. Cela s’applique aux applications qui autorisent les utilisateurs non authentifiés à téléverser ou modifier des patrons velocity exécutant le moteur Velocity d’Apache, jusqu’à y compris la version 2.2 .

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 1.7-5+deb9u1.

Nous vous recommandons de mettre à jour vos paquets velocity.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.