Säkerhetsbulletin från Debian
DSA-3275-1 fusionforge -- säkerhetsuppdatering
- Rapporterat den:
- 2015-05-30
- Berörda paket:
- fusionforge
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2015-0850.
- Ytterligare information:
-
Ansgar Burchardt upptäckte att Git-insticksmodulen för FusionForge, en webbbaserad projekthanterings- och samarbetsmjukvara, inte validerar användartillhandahållen indata som parameter till metoden för att skapa sekundära Gitförråd tillräckligt. En fjärrangripare kunde utnyttja denna brist för att köra godtyckliga kommandon som root via en speciellt skapad URL.
För den stabila utgåvan (Jessie) har detta problem rättats i version 5.3.2+20141104-3+deb8u1.
För uttestningsutgåvan (Stretch) och den instabila utgåvan (Sid), kommer detta problem att rättas inom kort.
Vi rekommenderar att ni uppgraderar era fusionforge-paket.