Информация по безопасности / 2013 / Информация о безопасности -- DSA-2791-1 tryton-client

Рекомендация Debian по безопасности

DSA-2791-1 tryton-client -- отсутствие очистки ввода

Дата сообщения:

04.11.2013

Затронутые пакеты:

tryton-client

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2013-4510.

Более подробная информация:

Седрик Крие обнаружил, что клиент Tryton не производит очистки расширения файла, переданного сервером, при обработке отчётов. В результате злонамеренный сервер может отправить отчёт со специальным расширением файла, что приведёт к доступу с правами на запись к любому файлу, к которому пользователь, запустивший указанный клиент, имеет доступ на запись.

В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена в версии 1.6.1-1+deb6u1.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 2.2.3-1+deb7u1.

Мы рекомендуем обновить пакеты tryton-client.