Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3462-1 radicale

Bulletin d'alerte Debian

DSA-3462-1 radicale -- Mise à jour de sécurité

Date du rapport :

30 janvier 2016

Paquets concernés :

radicale

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 809920.
Dans le dictionnaire CVE du Mitre : CVE-2015-8747, CVE-2015-8748.

Plus de précisions :

Deux vulnérabilités ont été corrigées dans radicale, un serveur CardDAV et CalDAV.

• CVE-2015-8747

  Le dorsal de stockage multisystème de fichiers (non configuré par défaut et non disponible dans Wheezy) autorise un accès en lecture et en écriture à des fichiers arbitraires (encore sujets aux droits du contrôle d'accès discrétionnaire (DAC) de l'utilisateur qui exécute le serveur radicale).

• CVE-2015-8748

  Si un attaquant a le droit de s'authentifier avec un nom d'utilisateur tel que « .* », il peut contourner les limitations d'écriture et de lecture imposées par des règles basées sur des expressions régulières, y compris les règles internes « owner_write » (lecture pour tout le monde, écriture pour le propriétaire de calendrier) et « owner_only » (lecture et écriture pour le propriétaire du calendrier).

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 0.7-1.1+deb7u1.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 0.9-1+deb8u1.

Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 1.1.1-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.1.1-1.

Nous vous recommandons de mettre à jour vos paquets radicale.