Bulletin d'alerte Debian

DLA-2597-1 velocity-tools -- Mise à jour de sécurité pour LTS

Date du rapport :
17 mars 2021
Paquets concernés :
velocity-tools
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-13959.
Plus de précisions :

Il a été découvert qu’il existait une vulnérabilité de script intersite (XSS) dans velocity-tools, une collection d’outils utiles pour le moteur de patron Velocity.

La page d’erreur par défaut pourrait être exploitée pour dérober les cookies de session, pour réaliser des requêtes au nom de la victime ou pour des attaques par hameçonnage ou d’autres attaques similaires.

  • CVE-2020-13959

    La page d’erreur par défaut pour VelocityView dans les outils d’Apache Velocity avant la version 3.1 renvoie à un fichier vm qui était entré comme partie de l’URL. Un attaquant peut régler un fichier de charge XSS comme fichier vm dans cette URL ce qui aboutit à ce que cette charge soit exécutée. Les vulnérabilités XSS permettent à des attaquants d’exécuter du JavaScript arbitraire dans le contexte du site web attaqué et de l’utilisateur attaqué. Cela peut être utilisé pour dérober des cookies de session, pour réaliser des requêtes au nom de la victime ou pour des attaquer par hameçonnage.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 2.0-6+deb9u1.

Nous vous recommandons de mettre à jour vos paquets velocity-tools.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.