Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2791-1 tryton-client

Debians sikkerhedsbulletin

DSA-2791-1 tryton-client -- manglende fornuftighedskontrol af inddata

Rapporteret den:

4. nov 2013

Berørte pakker:

tryton-client

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2013-4510.

Yderligere oplysninger:

Cedric Krier opdagede, at Tryton-klienten ikke fornuftighedskontrollerede filudvidelsen leveret af serveren, når der blev behandlet rapporter. Som følge heraf kunne en ondsindet server sende en rapport med en fabrikeret filudvidelse, som medførte at klienten skrev til enhver lokal fil, som brugeren der kører klienten, har skriveadgang til.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 1.6.1-1+deb6u1.

I den stabile distribution (wheezy), er dette problem rettet i version 2.2.3-1+deb7u1.

Vi anbefaler at du opgraderer dine tryton-client-pakker.