Debians sikkerhedsbulletin
DSA-3462-1 radicale -- sikkerhedsopdatering
- Rapporteret den:
- 30. jan 2016
- Berørte pakker:
- radicale
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 809920.
I Mitres CVE-ordbog: CVE-2015-8747, CVE-2015-8748. - Yderligere oplysninger:
-
To sårbarheder blev rettet i radicale, en CardDAV-/CalDAV-server.
- CVE-2015-8747
Flerfilsystem-storage-backend'en (der ikke er opsat som standard og ikke er tilgængelig i Wheezy), tillod læsnings- og skrivningsadgang til vilkårlige filer (dog underlagt DAC-rettighederne tildelt den bruger, som radicale-serveren kører som).
- CVE-2015-8748
Hvis en angriber var i stand til at autentificere sit med et brugernavn så som
.*
, kunne vedkommende omgå læse-/skrivebegrænsninger pålagt af regex-baserede regler, herunder de indbyggede reglerowner_write
(alle kan læse, kalenderejen kan skrive) ogowner_only
(kun kalenderejen kan læse og skrive).
I den gamle stabile distribution (wheezy), er disse problemer rettet i version 0.7-1.1+deb7u1.
I den stabile distribution (jessie), er disse problemer rettet i version 0.9-1+deb8u1.
I distributionen testing (stretch), er disse problemer rettet i version 1.1.1-1.
I den ustabile distribution (sid), er disse problemer rettet i version 1.1.1-1.
Vi anbefaler at du opgraderer dine radicale-pakker.
- CVE-2015-8747