blob: 5b6e49c12e95e11688a03e0d18d16241a5eb43c2 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
|
#use wml::debian::translation-check translation="c7e7cde6356d6f3b4028ffcda30f910877ffe53d" mindelta="1"
<define-tag description>upload af vilkårlig fil via deserialisation</define-tag>
<define-tag moreinfo>
<p>Man opdagede at Apache Commons FileUpload, en pakke der gør det let at
tilføje robuste, højtydende filuploadmulighed til servlets og webapplikationer,
på ukorrekt vis håndterede filnavne med NULL-bytes i serialiserede instanser.
En fjernangriber med mulighed for at levere en serialiseret instans af klassen
DiskFileItem, der kunne deserialiseres på en server, kunne udnytte fejlen til at
skrive vilkårligt indhold til enhver placering på serveren, som er tilgængelig
for brugeren, der kører applikationens serverproces.</p>
<p>I den gamle stabile distribution (squeeze), er dette problem rettet i
version 1.2.2-1+deb6u1.</p>
<p>I den stabile distribution (wheezy), er dette problem rettet i
version 1.2.2-1+deb7u1.</p>
<p>I distributionen testing (jessie), er dette problem rettet i
version 1.3-2.1.</p>
<p>I den ustabile distribution (sid), er dette problem rettet i
version 1.3-2.1.</p>
<p>Vi anbefaler at du opgraderer dine libcommons-fileupload-java-pakker.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2013/dsa-2827.data"
|