Debians sikkerhedsbulletin

DSA-4773-1 yaws -- sikkerhedsopdatering

Rapporteret den:
16. okt 2020
Berørte pakker:
yaws
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2020-24379, CVE-2020-24916.
Yderligere oplysninger:

To sårbarheder blev opdaget i yaws, en højtydende HTTP 1.1-webserver skrevet i Erlang.

  • CVE-2020-24379

    Implementeringen af WebDAV var sårbar over for en XML External Entity-indsprøjtningssårbarhed (XXE).

  • CVE-2020-24916

    Implementeringen af CGI rensede ikke på korrekt vis CGI-forespørgsler, hvilket gjorde det muligt for en fjernangriber at udføre vilkårlige shell-kommandoer gennem navne på særligt fremstillede udførbare CGI-filer.

I den stabile distribution (buster), er disse problemer rettet i version 2.0.6+dfsg-1+deb10u1.

Vi anbefaler at du opgraderer dine yaws-pakker.

For detaljeret sikkerhedsstatus vedrørende yaws, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/yaws