Информация по безопасности / 2016 / Информация о безопасности -- DSA-3462-1 radicale

Рекомендация Debian по безопасности

DSA-3462-1 radicale -- обновление безопасности

Дата сообщения:

30.01.2016

Затронутые пакеты:

radicale

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 809920.
В каталоге Mitre CVE: CVE-2015-8747, CVE-2015-8748.

Более подробная информация:

В radicale, сервере CardDAV/CalDAV, было обнаружено две уязвимости.

• CVE-2015-8747

  Движок хранилища с поддержкой множества файловых систем (не настроен по умолчанию и не доступен в Wheezy) позволяет получать доступ для чтения и записи к произвольным файлам (подпадают под права доступа DAC пользователя, от лица которого запущен сервер radicale).

• CVE-2015-8748

  Если злоумышленник может аутентифицироваться как пользователь с именем типа `.*', то он может обойти ограничения чтения/записи, накладываемые правилами на основе регулярных выражений, включая встроенные правила `owner_write' (право на чтение для всех, а право на запись только для владельца календаря) и `owner_only' (права на чтение и запись только для владельца календаря).

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 0.7-1.1+deb7u1.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 0.9-1+deb8u1.

В тестируемом выпуске (stretch) эти проблемы были исправлены в версии 1.1.1-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.1.1-1.

Рекомендуется обновить пакеты radicale.