blob: 3861fdb006c0fa14cb5c5868d8de7783b7a48ec4 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
|
#use wml::debian::translation-check translation="63acfe388c39a5265ed75347ca8b6a3f2bd36516" mindelta="1"
<define-tag description>säkerhetsuppdatering</define-tag>
<define-tag moreinfo>
<p>Calum Hutton rapporterade att XML-RPC-servern i supervisor, ett system
för kontroll av processlägen, inte utför validering på efterfrågade
XML-RPC-metoder, vilket tillåter en autentiserad klient att skicka en illasinnad
XML-RPC-förfrågan till supervisord som kommer att köra godtyckliga
skalkommandon på servern som samma användare som supervisord.</p>
<p>Sårbarheten rättas genom att inaktivera nästlad namnrymdslookup
fullständigt. supervisord kommer nu endast att anropa metoder på objekt
som registrerats för att hantera XML-RPC-förfrågningar och inte några
underobjekt som det kan tänkas innehålla, vilket möjligen kan göra att
existerande setups slutar fungera. Inga publikt tillgängliga
tilläggsmoduler är för närvarande kända att använda nästlade namnrymder.
Tilläggsmoduler som använder en enstaka namnrymd kommer att fortsätta
fungera precis som tidigare. Detaljer kan hittas vid uppströmsfelrapporten
på
<a href="https://github.com/Supervisor/supervisor/issues/964">https://github.com/Supervisor/supervisor/issues/964</a>.</p>
<p>För den gamla stabila utgåvan (Jessie) har detta problem rättats
i version 3.0r1-1+deb8u1.</p>
<p>För den stabila utgåvan (Stretch) har detta problem rättats i
version 3.3.1-1+deb9u1.</p>
<p>Vi rekommenderar att ni uppgraderar era supervisor-paket.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3942.data"
|
