blob: b8944261f0ec5af066c51bb5e551fc01d5e0715e (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
|
#use wml::debian::translation-check translation="c7e7cde6356d6f3b4028ffcda30f910877ffe53d" mindelta="1"
<define-tag description>godtycklig filuppladdning via deserialisering</define-tag>
<define-tag moreinfo>
<p>Man har upptäckt att Apache Commons FileUpload, ett paket för att göra
det lätt att lägga till robusta, högpresterande filuppladdningsmöjligheter till
servlets och webbapplikationer, felaktigt hanterade filnamn med NULL-bytes
i serialiserade instanser. En fjärrangripare med möjlighet att tillhandahålla
en serialiserad instans av klassen DiskFileItem, som kunde deserialiseras på
en server, kunde använda denna brist för att skriva godtyckligt innehåll till
vilken plats som helst på servern som är tillgänglig till användaren som kör
applikationsserverprocessen.</p>
<p>För den gamla stabila utgåvan (Squeeze) har detta problem rättats i
version 1.2.2-1+deb6u1.</p>
<p>För den stabila utgåvan (Wheezy) har detta problem rättats i
version 1.2.2-1+deb7u1.</p>
<p>För uttestningsutgåvan (Jessie) har detta problem rättats i
version 1.3-2.1.</p>
<p>För den instabila utgåvan (Sid) har detta problem rättats i
version 1.3-2.1.</p>
<p>Vi rekommenderar att ni uppgraderar era libcommons-fileupload-java-paket.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2013/dsa-2827.data"
|
