Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-2937-1 mod-wsgi

Säkerhetsbulletin från Debian

DSA-2937-1 mod-wsgi -- säkerhetsuppdatering

Rapporterat den:

2014-05-27

Berörda paket:

mod-wsgi

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2014-0240, CVE-2014-0242.

Ytterligare information:

Två säkerhetsproblem har upptäckts i Pythons WSGI-adaptermodul för Apache:

• CVE-2014-0240

  Robert Kisteleki upptäckte en potentiell utökning av privilegier i daemon-läge. Detta är inte exploaterbart med kärnan som används i Debian 7.0/Wheezy.

• CVE-2014-0242

  Buck Golemon upptäckte att felaktig minneshantering kunde leda till utlämnande av information vid behandling av Content-Type-huvuden.

För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 3.3-2+deb6u1.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 3.3-4+deb7u1.

För uttestningsutgåvan (Jessie) har dessa problem rättats i version 3.5-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 3.5-1.

Vi rekommenderar att ni uppgraderar era mod-wsgi-paket.