• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Уязвимость в radicale

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
radicale (any)
Описание
Уязвимости существуют в radicale, сервере CardDAV/CalDAV.

CVE-2015-8747
Уязвимость существует на внутреннем сервере хранилища с поддержкой множества файловых систем (не настроен по умолчанию и не доступен в Wheezy) из-за возможности просматривать и изменять произвольные файлы (даже при наличии разграничительного контроля доступа пользователя, от имени которого запущен сервер radicale).
CVE-2015-8748
Уязвимость позволяет злоумышленнику, прошедшему аутентификацию с использованием имени вроде `.*', обойти ограничения на чтение/запись, накладываемые правилами на основе регулярных выражений, включая встроенные правила `owner_write' (права на чтение для всех, права на запись только для владельца календаря) и `owner_only' (права на чтение и запись только для владельца календаря).

Для предыдущего стабильного дистрибутива (wheezy) уязвимости устранены в версии 0.7-1.1+deb7u1.
Для стабильного дистрибутива (jessie) уязвимости устранены в версии 0.9-1+deb8u1.
Для тестируемого дистрибутива (stretch) уязвимости устранены в версии 1.1.1-1.
Для нестабильного дистрибутива (sid) уязвимости устранены в версии 1.1.1-1.
Рекомендуется обновить пакеты radicale.
Как исправить
Для устранения уязвимости необходимо установить следующие версии пакетов, соответствующие используемой архитектуре:
Debian GNU/Linux 8:
для всех архитектур:
radicale - 0.9-1+deb8u1
Debian GNU/Linux 7:
для всех архитектур:
radicale - 0.7-1.1+deb7u1
Ссылки
http://www.debian.org/security/dsa-3462/

Источник: CVE
Наименование: CVE-2015-8748
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8748

Источник: CVE
Наименование: CVE-2015-8747
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8747