Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3502-1 roundup

Säkerhetsbulletin från Debian

DSA-3502-1 roundup -- säkerhetsuppdatering

Rapporterat den:

2016-03-03

Berörda paket:

roundup

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2014-6276.

Ytterligare information:

Ralf Schlatterbeck upptäckte ett informationsläckage i roundup, ett webbaserat ärendehanteringssystem. En autentiserad angripare kunde använda det för att se känsliga detaljer om andra användare, inklusive deras hashade lösenord.

Efter att man har applicerat denna uppdatering, som rättar de skeppade mallarna, bör sajtadministratören säkerställa att även de instastierade versionerna (vanligtvis i /var/lib/roundup) uppdateras, antingen genom att patcha dessa manuellt eller genom att återskapa dem.

Ytterligare information kan hittas i uppströmsdokumentationen på http://www.roundup-tracker.org/docs/upgrading.html#user-data-visibility

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 1.4.20-1.1+deb7u1.

För den stabila utgåvan (Jessie) har detta problem rättats i version 1.4.20-1.1+deb8u1.

För uttestningsutgåvan (Stretch) och den instabila utgåvan (Sid), har detta problem inte rättats än.

Vi rekommenderar att ni uppgraderar era roundup-paket.