Debians sikkerhedsbulletin

DSA-4415-1 passenger -- sikkerhedsopdatering

Rapporteret den:
24. mar 2019
Berørte pakker:
passenger
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 884463.
I Mitres CVE-ordbog: CVE-2017-16355.
Yderligere oplysninger:

En sårbarhed i forbindelse med vilkårlig læsning, blev opdaget i passenger, en webapplikationsserver. En lokal bruger med tilladelse til at udrulle en applikation til passenger, kunne drage nytte af fejlen til at oprette et symlink fra filen REVISION til en vilkårlig fil på systemet, og få dens indhold vist gennem passenger-status.

I den stabile distribution (stretch), er dette problem rettet i version 5.0.30-1+deb9u1.

Vi anbefaler at du opgraderer dine passenger-pakker.

For detaljeret sikkerhedsstatus vedrørende passenger, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/passenger