Рекомендация Debian по безопасности

DSA-4415-1 passenger -- обновление безопасности

Дата сообщения:
24.03.2019
Затронутые пакеты:
passenger
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 884463.
В каталоге Mitre CVE: CVE-2017-16355.
Более подробная информация:

В passenger, сервере веб-приложений, была обнаружена уязвимость, приводящая к чтению произвольных файлов. Локальный пользователь, способный разворачивать приложение в passenger, может использовать эту уязвимость путём создания символьной ссылки из файла REVISION на произвольный файл в системе и получить отображение его содержимого через passenger-status.

В стабильном выпуске (stretch) эта проблема была исправлена в версии 5.0.30-1+deb9u1.

Рекомендуется обновить пакеты passenger.

С подробным статусом поддержки безопасности passenger можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/passenger