Рекомендация Debian по безопасности
DSA-3275-1 fusionforge -- обновление безопасности
- Дата сообщения:
- 30.05.2015
- Затронутые пакеты:
- fusionforge
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2015-0850.
- Более подробная информация:
-
Ансгар Бурхард обнаружил, что дополнение Git для FusionForge, ПО для управления проектами и совместной работы в веб, выполняет недостаточную проверку пользовательского ввода, которые передаётся в качестве параметра методу для создания вторичного Git-репозитория. Удалённый злоумышленник может использовать данную уязвимость для выполнения произвольного кода от лица суперпользователя с помощью специально сформированного URL.
В стабильном выпуске (jessie) эта проблема была исправлена в версии 5.3.2+20141104-3+deb8u1.
В тестируемом (stretch) и нестабильном (sid) выпусках эта проблему будет исправлена позже.
Рекомендуется обновить пакеты fusionforge.