Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3298-1 jackrabbit

Debians sikkerhedsbulletin

DSA-3298-1 jackrabbit -- sikkerhedsopdatering

Rapporteret den:

1. jul 2015

Berørte pakker:

jackrabbit

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2015-1833.

Yderligere oplysninger:

Man opdagede at Jackrabbit WebDAV-bundle't var sårbart over for et XXE-/XEE-angreb. Ved behandling af en WebDAV-forespørgselskrop indeholdende XML, kunne XML-fortolkeren blive instrueret til at læse indhold fra netværksressourcer tilgængelige for værten, identificeret af URI-skemaer så som http(s) eller file. Afhængigt af WebDAV-forespørgslen kunne det ikke blot udnyttes til at udløse interne netværksforespørgsler, men også anvendes til at indsætte sådant indhold i forespørgslen, potentielt medførende en blotlæggelse af indholdet til angriberen og andre.

I den gamle stabile distribution (wheezy), er dette problem rettet i version 2.3.6-1+deb7u1.

I den stabile distribution (jessie), er dette problem rettet i version 2.3.6-1+deb8u1.

I distributionen testing (stretch), er dette problem rettet i version 2.10.1-1.

I den ustabile distribution (sid), er dette problem rettet i version 2.10.1-1.

Vi anbefaler at du opgraderer dine jackrabbit-pakker.