Рекомендация Debian по безопасности

DSA-1754-1 roundup -- недостаточная проверка доступа

Дата сообщения:

09.04.2009

Затронутые пакеты:

roundup

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 518768.

Более подробная информация:

Было обнаружено, что roundup, система отслеживания ошибок с интерфейсами командной строки, веб и электронной почты, позволяет пользователям редактировать ресурсы неавторизованными способами, включая передачу самим себе административных прав.

Это обновление добавляет более строгие проверки доступа, фактически подкрепляя настроенные права доступа и роли. Это означает, что настройки, вероятно, нужно будет обновить. Кроме того, была отключена регистрация пользователей через веб-интерфейс; для регистрации используйте программу "roundup-admin" из командной строки.

В предыдущем стабильном выпуске (etch) эта проблема была исправлена в версии 1.2.1-10+etch1.

В стабильном выпуске (lenny) эта проблема была исправлена в версии 1.4.4-4+lenny1.

Рекомендуется обновить пакет roundup.

Исправлено в:

Debian GNU/Linux 4.0 (etch)

Исходный код:: http://security.debian.org/pool/updates/main/r/roundup/roundup_1.2.1-10+etch1.dsc; http://security.debian.org/pool/updates/main/r/roundup/roundup_1.2.1-10+etch1.diff.gz
Независимые от архитектуры компоненты:: http://security.debian.org/pool/updates/main/r/roundup/roundup_1.2.1-10+etch1_all.deb

Debian GNU/Linux 5.0 (lenny)

Исходный код:: http://security.debian.org/pool/updates/main/r/roundup/roundup_1.4.4.orig.tar.gz; http://security.debian.org/pool/updates/main/r/roundup/roundup_1.4.4-4+lenny1.diff.gz; http://security.debian.org/pool/updates/main/r/roundup/roundup_1.4.4-4+lenny1.dsc
Независимые от архитектуры компоненты:: http://security.debian.org/pool/updates/main/r/roundup/roundup_1.4.4-4+lenny1_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.