blob: af4c263788f5cbb92620d2f9f7b0ded43e6bd584 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
|
#use wml::debian::translation-check translation="63acfe388c39a5265ed75347ca8b6a3f2bd36516" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности</define-tag>
<define-tag moreinfo>
<p>Колум Хаттон сообщил, что сервер XML-RPC в supervisor, системе для
управления состояниями процессов, неправильно выполняет проверку запрашиваемых
методов XML-RPC, позволяя аутентифицированному клиенту отправлять вредоносные
запросы XML-RPC службе supervisord, что приводит к запуску произвольных команд
командной оболочки на сервере от лица пользователя, запустившего supervisord.</p>
<p>Эта уязвимость была исправлена путём полного отключения поиска по вложенным
пространствам имён. Служба supervisord будет вызывать только методы, зарегистрированные
на объекте для обработки запросов XML-RPC, а не на любом дочернем объекте, который
может содержаться в нём. Вероятно, это проведёт к поломке определённых настроек. В настоящее
время ничего не известно о дополнениях, использующих вложенные пространства имён.
Дополнения, использующие одно пространство имён, продолжат работать как и раньше.
Подробности можно найти в сообщении о проблеме в
основной ветке разработки по адресу
<a href="https://github.com/Supervisor/supervisor/issues/964">https://github.com/Supervisor/supervisor/issues/964</a> .</p>
<p>В предыдущем стабильном выпуске (jessie) эта проблема была исправлена
в версии 3.0r1-1+deb8u1.</p>
<p>В стабильном выпуске (stretch) эта проблема была исправлена в
версии 3.3.1-1+deb9u1.</p>
<p>Рекомендуется обновить пакеты supervisor.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3942.data"
# $Id$
|
