blob: 90fe45cf48c1480d0c677298e51ed693846b5c92 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
|
#use wml::debian::translation-check translation="63acfe388c39a5265ed75347ca8b6a3f2bd36516" mindelta="1"
<define-tag description>sikkerhedsopdatering</define-tag>
<define-tag moreinfo>
<p>Calum Hutton rapporterede at XML-RPC-serveren i supervisor, et system til
kontrollering af procetilstande, ikke udførte validering af forespurgte
XML-RPC-metoder, gør det muligt for en autentificeret klient at sende en
onsindet XML-RPC-forespørgsel til supervisord, som kørte vilkårlige
shell-kommandoer på serveren med den samme bruger som supervisord.</p>
<p>Sårbarhederne er rettet ved helt at deaktivere nestede navnerumsopslag.
Supervisord kalder nu kun metoder på objektet, som er registreret til at
håndtere XML-RPC-forespørgsler, og ikke nogen childobjekter den kan indeholde,
hvilket muligvis medfører at eksisterende opsætninger holder op med at fungere.
Der er ikke kendskab til nogen offentligt tilgængelige plugin'er, som benytter
nestede navnerum. Plugin'er, som anvender et enkelt navnerum, vil fungere som
hidtil. Flere oplysninger finder man i opstrømsrapporteringen på
<a href="https://github.com/Supervisor/supervisor/issues/964">\
https://github.com/Supervisor/supervisor/issues/964</a>.</p>
<p>I den gamle stabile distribution (jessie), er dette problem rettet
i version 3.0r1-1+deb8u1.</p>
<p>I den stabile distribution (stretch), er dette problem rettet i
version 3.3.1-1+deb9u1.</p>
<p>Vi anbefaler at du opgraderer dine supervisor-pakker.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3942.data"
|