Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3462-1 radicale

Säkerhetsbulletin från Debian

DSA-3462-1 radicale -- säkerhetsuppdatering

Rapporterat den:

2016-01-30

Berörda paket:

radicale

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 809920.
I Mitres CVE-förteckning: CVE-2015-8747, CVE-2015-8748.

Ytterligare information:

Två sårbarheter har rättats i radicale, en CardDAV/CalDAV-server.

• CVE-2015-8747

  Multifilsystemlagringsbakänden (som inte konfigureras som standard och därmed inte finns tillgänglig i Wheezy) tillåter läs- och skrivåtkomst till godtyckliga filer (som fortfarande lyder under DAC-rättigheter från användaren som servern kör som).

• CVE-2015-8748

  Om en angripare kan autentisera med ett användarnamn som `.*', kan han förbigå läs och skrivbegränsningar som ålagts av regex-baserade regler, inklusive de inbyggda reglerna `owner_write' (läs för alla, skriv för kalenderägaren) och `owner_only' (läs och skriv för kalenderägaren).

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 0.7-1.1+deb7u1.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 0.9-1+deb8u1.

För uttestningsutgåvan (Stretch) har dessa problem rättats i version 1.1.1-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.1.1-1.

Vi rekommenderar att ni uppgraderar era radicale-paket.