Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2791-1 tryton-client

Säkerhetsbulletin från Debian

DSA-2791-1 tryton-client -- saknad rengöring av indata

Rapporterat den:

2013-11-04

Berörda paket:

tryton-client

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2013-4510.

Ytterligare information:

Cedric Krier upptäckte att Tryton-klienten inte rengör filändelsen som tillhandahålls av servern vid behandling av rapporter. Ett resultat av detta är att en illasinnad server kan skicka en rapport med en skapad filändelse som orsakar klienten att skriva till vilken lokal fil som helst som användaren som kör klienten har skrivrättigheter till.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 1.6.1-1+deb6u1.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 2.2.3-1+deb7u1.

Vi rekommenderar att ni uppgraderar era tryton-client-paket.