Рекомендация Debian по безопасности

DSA-4773-1 yaws -- обновление безопасности

Дата сообщения:
16.10.2020
Затронутые пакеты:
yaws
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2020-24379, CVE-2020-24916.
Более подробная информация:

В yaws, высокопроизводительном веб-сервере HTTP 1.1, написанном на языке Erlang, были обнаружены две уязвимости.

  • CVE-2020-24379

    Реализация WebDAV уязвима к введению внешней сущности XML (XXE).

  • CVE-2020-24916

    Реализация CGI неправильно выполняет очистку CGI-запросов, позволяя удалённому злоумышленнику выполнять произвольные команды командной оболочки с помощью специально сформированных имён исполняемых файлов CGI.

В стабильном выпуске (buster) эти проблемы были исправлены в версии 2.0.6+dfsg-1+deb10u1.

Рекомендуется обновить пакеты yaws.

С подробным статусом поддержки безопасности yaws можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/yaws