Thông tin về bảo mật / 2015 / Thông tin bảo mật -- DSA-3275-1 fusionforge

Cố vấn bảo mật Debian

DSA-3275-1 fusionforge -- cập nhật bảo mật

Ngày báo cáo:

30 Th5 2015

Gói chịu tác động:

fusionforge

Có thể bị tấn công:

Có

Tham khảo cơ sở dữ liệu bảo mật:

Trong từ điển CVE của Miter: CVE-2015-0850.

Thêm thông tin:

Ansgar Burchardt đã phát hiện ra trong phần bổ xung Git dành cho FusionForge, một phần mềm cộng tác và quản lý dự án dựa trên nền web, đã không kiểm nhận cẩn thận người dùng cung cấp đầu vào (input) như là tham số cho phương thức tạo các kho Git thứ cấp. Kẻ tấn công trên mạng có thể dùng lỗi này để thực hiện mã tùy ý dưới quyền người siêu quản trị thông qua một URL đặc biệt.

Với bản phân phối ổn định (jessie), lỗi này được sửa trong phiên bản 5.3.2+20141104-3+deb8u1.

Với bản phân phối thử nghiệm (stretch) và bản phân phối chưa ổn định (sid), lỗi này sẽ sớm được sửa.

Chúng tôi khuyên bạn nên nâng cấp gói fusionforge của mình.