Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3502-1 roundup

Debians sikkerhedsbulletin

DSA-3502-1 roundup -- sikkerhedsopdatering

Rapporteret den:

3. mar 2016

Berørte pakker:

roundup

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2014-6276.

Yderligere oplysninger:

Ralf Schlatterbeck opdagede en informationslækage i roundup, et webbaseret problemhåndteringssystem. En autentificeret angriber kunne anvende det til at se følsomme oplysninger om nogle brugere, herunder deres hashede adgangskode.

Efter at have taget denne opdatering i brug, hvilket retter de medfølgende skabeloner, skal webstedsadministratoren sikre sig, at instansversioner (normalt i /var/lib/roundup) også opdateres, enten ved at patche dem manuelt eller ved at gendanne dem.

Flere oplysninger finder man i opstrømsdokumentationen på http://www.roundup-tracker.org/docs/upgrading.html#user-data-visibility

I den gamle stabile distribution (wheezy), er dette problem rettet i version 1.4.20-1.1+deb7u1.

I den stabile distribution (jessie), er dette problem rettet i version 1.4.20-1.1+deb8u1.

I distributionen testing (stretch) og i den ustabile distribution (sid), er dette problem endnu ikke rettet.

Vi anbefaler at du opgraderer dine roundup-pakker.