Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3363-1 owncloud-client

Debians sikkerhedsbulletin

DSA-3363-1 owncloud-client -- sikkerhedsopdatering

Rapporteret den:

20. sep 2015

Berørte pakker:

owncloud-client

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2015-4456.

Yderligere oplysninger:

Johannes Kliemann opdagede en sårbarhed i ownCloud Desktop Client, klientsiden af fildelingstjenesten ownCloud. Sårbarheden muliggjorde manden i midten-angreb i situationer hvor serveren anvender self-signerede certifikater og forbindelsen allerede er etableret. Hvis brugeren på klientsiden manuelt har registreret mistro til det nye certifikat, vil filsynkroniseringen fortsætte med at anvende den ondsindede server som gyldig.

I den stabile distribution (jessie), er dette problem rettet i version 1.7.0~beta1+really1.6.4+dfsg-1+deb8u1.

I distributionen testing (stretch), er dette problem rettet i version 1.8.4+dfsg-1.

I den ustabile distribution (sid), er dette problem rettet i version 1.8.4+dfsg-1.

Vi anbefaler at du opgraderer dine owncloud-client-pakker.