Debians sikkerhedsbulletin

DSA-3942-1 supervisor -- sikkerhedsopdatering

Rapporteret den:
13. aug 2017
Berørte pakker:
supervisor
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 870187.
I Mitres CVE-ordbog: CVE-2017-11610.
Yderligere oplysninger:

Calum Hutton rapporterede at XML-RPC-serveren i supervisor, et system til kontrollering af procetilstande, ikke udførte validering af forespurgte XML-RPC-metoder, gør det muligt for en autentificeret klient at sende en onsindet XML-RPC-forespørgsel til supervisord, som kørte vilkårlige shell-kommandoer på serveren med den samme bruger som supervisord.

Sårbarhederne er rettet ved helt at deaktivere nestede navnerumsopslag. Supervisord kalder nu kun metoder på objektet, som er registreret til at håndtere XML-RPC-forespørgsler, og ikke nogen childobjekter den kan indeholde, hvilket muligvis medfører at eksisterende opsætninger holder op med at fungere. Der er ikke kendskab til nogen offentligt tilgængelige plugin'er, som benytter nestede navnerum. Plugin'er, som anvender et enkelt navnerum, vil fungere som hidtil. Flere oplysninger finder man i opstrømsrapporteringen på https://github.com/Supervisor/supervisor/issues/964.

I den gamle stabile distribution (jessie), er dette problem rettet i version 3.0r1-1+deb8u1.

I den stabile distribution (stretch), er dette problem rettet i version 3.3.1-1+deb9u1.

Vi anbefaler at du opgraderer dine supervisor-pakker.