Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3298-1 jackrabbit

Säkerhetsbulletin från Debian

DSA-3298-1 jackrabbit -- säkerhetsuppdatering

Rapporterat den:

2015-07-01

Berörda paket:

jackrabbit

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2015-1833.

Ytterligare information:

Man har upptäckt att Jackrabbits WebDAV-paket var sårbart för ett XXE/XEE-angrepp. Vid behandling av en WebDAV-förfrågekropp som innehåller XML, kunde XML-tolken instrueras att läsa innehåll från nätverksresurser som värden har åtkomst till, identifierbart av URI-scheman så som http(s) eller file. Beroende på WebDAV-förfrågan kunde detta inte bara användas för att trigga interna nätverksförfrågningar, utan kunde även användas för att lägga till nämnda innehåll i förfrågan, och potentiellt avslöja det för angriparen och andra.

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 2.3.6-1+deb7u1.

För den stabila utgåvan (Jessie) har detta problem rättats i version 2.3.6-1+deb8u1.

För uttestningsutgåvan (Stretch) har detta problem rättats i version 2.10.1-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.10.1-1.

Vi rekommenderar att ni uppgraderar era jackrabbit-paket.