Информация по безопасности / 2015 / Информация о безопасности -- DSA-3275-1 fusionforge

Рекомендация Debian по безопасности

DSA-3275-1 fusionforge -- обновление безопасности

Дата сообщения:

30.05.2015

Затронутые пакеты:

fusionforge

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2015-0850.

Более подробная информация:

Ансгар Бурхард обнаружил, что дополнение Git для FusionForge, ПО для управления проектами и совместной работы в веб, выполняет недостаточную проверку пользовательского ввода, которые передаётся в качестве параметра методу для создания вторичного Git-репозитория. Удалённый злоумышленник может использовать данную уязвимость для выполнения произвольного кода от лица суперпользователя с помощью специально сформированного URL.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 5.3.2+20141104-3+deb8u1.

В тестируемом (stretch) и нестабильном (sid) выпусках эта проблему будет исправлена позже.

Рекомендуется обновить пакеты fusionforge.