Säkerhetsbulletin från Debian
DSA-1754-1 roundup -- otillräcklig kontroll av åtkomst
- Rapporterat den:
- 2009-04-09
- Berörda paket:
- roundup
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 518768.
- Ytterligare information:
-
Det upptäcktes att roundup, en problemhanterare med ett kommandorads-, webb- och epostgränssnitt, tillåter användare att redigera resurser på oauktoriserade sätt, inklusive att ge sig själva administörsrättigheter.
Denna uppdateringar introducerar striktare åtkomstkontroller och upprätthåller faktiskt de konfigurerade rättigheterna och rollerna. Detta betyder att konfigurationen kan behöva uppdateras. Dessutom har användarregistrering via webbgränssnittet avaktiverats; använd programmet
roundup-admin
från kommandoraden istället.För den gamla stabila utgåvan (Etch) har detta problem rättats i version 1.2.1-10+etch1.
För den stabila utgåvan (Lenny) har detta problem rättats i version 1.4.4-4+lenny1.
Vi rekommenderar att ni uppgraderar ert roundup-paket.
- Rättat i:
-
Debian GNU/Linux 4.0 (etch)
- Källkod:
- http://security.debian.org/pool/updates/main/r/roundup/roundup_1.2.1-10+etch1.dsc
- http://security.debian.org/pool/updates/main/r/roundup/roundup_1.2.1-10+etch1.diff.gz
- http://security.debian.org/pool/updates/main/r/roundup/roundup_1.2.1-10+etch1.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/r/roundup/roundup_1.2.1-10+etch1_all.deb
Debian GNU/Linux 5.0 (lenny)
- Källkod:
- http://security.debian.org/pool/updates/main/r/roundup/roundup_1.4.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/r/roundup/roundup_1.4.4-4+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/r/roundup/roundup_1.4.4-4+lenny1.dsc
- http://security.debian.org/pool/updates/main/r/roundup/roundup_1.4.4-4+lenny1.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/r/roundup/roundup_1.4.4-4+lenny1_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.