Säkerhetsinformation / 2019 / Säkerhetsinformation -- DSA-4415-1 passenger

Säkerhetsbulletin från Debian

DSA-4415-1 passenger -- säkerhetsuppdatering

Rapporterat den:

2019-03-24

Berörda paket:

passenger

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 884463.
I Mitres CVE-förteckning: CVE-2017-16355.

Ytterligare information:

En godtycklig filläsningssårbarhet har upptäckts i passenger, en webbapplikationsserver. En lokal användare tillåten att deploya en applikation till passenger kan dra fördel av denna brist genom att skapa en symbolisk länk från filen REVISION till en godtycklig fil på systemet och få dess innehåll visat genom passenger-status.

För den stabila utgåvan (Stretch) har detta problem rättats i version 5.0.30-1+deb9u1.

Vi rekommenderar att ni uppgraderar era passenger-paket.

För detaljerad säkerhetsstatus om passenger vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/passenger