• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-4142-1 uwsgi -- обновление безопасности

Главная Специалистам База уязвимостей DSA-4142-1 uwsgi -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
libapache2-mod-proxy-uwsgi (any) libapache2-mod-proxy-uwsgi-dbg (any) libapache2-mod-ruwsgi (any) libapache2-mod-ruwsgi-dbg (any) libapache2-mod-uwsgi (any) libapache2-mod-uwsgi-dbg (any) python3-uwsgidecorators (any) python-uwsgidecorators (any) uwsgi (any) uwsgi-app-integration-plugins (any) uwsgi-core (any) uwsgi-dbg (any) uwsgi-emperor (any) uwsgi-extra (any) uwsgi-infrastructure-plugins (any) uwsgi-mongodb-plugins (any) uwsgi-plugin-alarm-curl (any) uwsgi-plugin-alarm-xmpp (any) uwsgi-plugin-asyncio-python (any) uwsgi-plugin-asyncio-python3 (any) uwsgi-plugin-curl-cron (any) uwsgi-plugin-emperor-pg (any) uwsgi-plugin-fiber (any) uwsgi-plugin-gccgo (any) uwsgi-plugin-geoip (any) uwsgi-plugin-gevent-python (any) uwsgi-plugin-glusterfs (any) uwsgi-plugin-graylog2 (any) uwsgi-plugin-greenlet-python (any) uwsgi-plugin-jvm-openjdk-7 (any) uwsgi-plugin-jvm-openjdk-8 (any) uwsgi-plugin-jwsgi-openjdk-7 (any) uwsgi-plugin-jwsgi-openjdk-8 (any) uwsgi-plugin-ldap (any) uwsgi-plugin-lua5.1 (any) uwsgi-plugin-lua5.2 (any) uwsgi-plugin-luajit (any) uwsgi-plugin-mono (any) uwsgi-plugin-php (any) uwsgi-plugin-psgi (any) uwsgi-plugin-python (any) uwsgi-plugin-python3 (any) uwsgi-plugin-rack-ruby2.1 (any) uwsgi-plugin-rack-ruby2.3 (any) uwsgi-plugin-rados (any) uwsgi-plugin-rbthreads (any) uwsgi-plugin-ring-openjdk-8 (any) uwsgi-plugin-router-access (any) uwsgi-plugins-all (any) uwsgi-plugin-servlet-openjdk-8 (any) uwsgi-plugin-sqlite3 (any) uwsgi-plugin-tornado-python (any) uwsgi-plugin-v8 (any) uwsgi-plugin-xslt (any) uwsgi-src (any)
Описание
Мариос Николаидес обнаружил, что PHP-дополнение в uWSGI, быстром
самовосстанавливающемся контейнерном сервере приложений, неправильно выполняет
проверку DOCUMENT_ROOT во время использования опции --php-docroot, позволяя
удалённым злоумышленникам выполнять обход каталога и получать неавторизованный
доступ для чтения к чувствительным файлам, расположенным за пределами корневого
каталога с веб-содержимым.
В предыдущем стабильном выпуске (jessie) эта проблема была исправлена
в версии 2.0.7-1+deb8u2. Кроме того, данное обновление включает в себя исправление
CVE-2018-6758, которое предназначалось к включению в готовящуюся
редакцию jessie.
В стабильном выпуске (stretch) эта проблема была исправлена в
версии 2.0.14+20161117-3+deb9u2.
Рекомендуется обновить пакеты uwsgi.
С подробным статусом поддержки безопасности uwsgi можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/uwsgi">https://security-tracker.debian.org/tracker/uwsgi">https://security-tracker.debian.org/tracker/uwsgi
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
libapache2-mod-proxy-uwsgi - 2.0.14+20161117-3+deb9u2
libapache2-mod-proxy-uwsgi-dbg - 2.0.14+20161117-3+deb9u2
libapache2-mod-ruwsgi - 2.0.14+20161117-3+deb9u2
libapache2-mod-ruwsgi-dbg - 2.0.14+20161117-3+deb9u2
libapache2-mod-uwsgi - 2.0.14+20161117-3+deb9u2
libapache2-mod-uwsgi-dbg - 2.0.14+20161117-3+deb9u2
python-uwsgidecorators - 2.0.14+20161117-3+deb9u2
python3-uwsgidecorators - 2.0.14+20161117-3+deb9u2
uwsgi - 2.0.14+20161117-3+deb9u2
uwsgi-app-integration-plugins - 2.0.14+20161117-3+deb9u2
uwsgi-core - 2.0.14+20161117-3+deb9u2
uwsgi-dbg - 2.0.14+20161117-3+deb9u2
uwsgi-emperor - 2.0.14+20161117-3+deb9u2
uwsgi-extra - 2.0.14+20161117-3+deb9u2
uwsgi-infrastructure-plugins - 2.0.14+20161117-3+deb9u2
uwsgi-mongodb-plugins - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-alarm-curl - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-alarm-xmpp - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-asyncio-python - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-asyncio-python3 - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-curl-cron - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-emperor-pg - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-fiber - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-gccgo - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-geoip - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-gevent-python - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-glusterfs - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-graylog2 - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-greenlet-python - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-jvm-openjdk-8 - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-jwsgi-openjdk-8 - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-ldap - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-lua5.1 - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-lua5.2 - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-luajit - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-mono - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-php - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-psgi - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-python - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-python3 - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-rack-ruby2.3 - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-rados - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-rbthreads - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-ring-openjdk-8 - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-router-access - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-servlet-openjdk-8 - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-sqlite3 - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-tornado-python - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-v8 - 2.0.14+20161117-3+deb9u2
uwsgi-plugin-xslt - 2.0.14+20161117-3+deb9u2
uwsgi-plugins-all - 2.0.14+20161117-3+deb9u2
uwsgi-src - 2.0.14+20161117-3+deb9u2
Debian GNU/Linux 8:
noarch:
libapache2-mod-proxy-uwsgi - 2.0.7-1+deb8u2
libapache2-mod-proxy-uwsgi-dbg - 2.0.7-1+deb8u2
libapache2-mod-ruwsgi - 2.0.7-1+deb8u2
libapache2-mod-ruwsgi-dbg - 2.0.7-1+deb8u2
libapache2-mod-uwsgi - 2.0.7-1+deb8u2
libapache2-mod-uwsgi-dbg - 2.0.7-1+deb8u2
python-uwsgidecorators - 2.0.7-1+deb8u2
python3-uwsgidecorators - 2.0.7-1+deb8u2
uwsgi - 2.0.7-1+deb8u2
uwsgi-app-integration-plugins - 2.0.7-1+deb8u2
uwsgi-core - 2.0.7-1+deb8u2
uwsgi-dbg - 2.0.7-1+deb8u2
uwsgi-emperor - 2.0.7-1+deb8u2
uwsgi-extra - 2.0.7-1+deb8u2
uwsgi-infrastructure-plugins - 2.0.7-1+deb8u2
uwsgi-plugin-alarm-curl - 2.0.7-1+deb8u2
uwsgi-plugin-alarm-xmpp - 2.0.7-1+deb8u2
uwsgi-plugin-curl-cron - 2.0.7-1+deb8u2
uwsgi-plugin-emperor-pg - 2.0.7-1+deb8u2
uwsgi-plugin-fiber - 2.0.7-1+deb8u2
uwsgi-plugin-geoip - 2.0.7-1+deb8u2
uwsgi-plugin-graylog2 - 2.0.7-1+deb8u2
uwsgi-plugin-greenlet-python - 2.0.7-1+deb8u2
uwsgi-plugin-jvm-openjdk-7 - 2.0.7-1+deb8u2
uwsgi-plugin-jwsgi-openjdk-7 - 2.0.7-1+deb8u2
uwsgi-plugin-ldap - 2.0.7-1+deb8u2
uwsgi-plugin-lua5.1 - 2.0.7-1+deb8u2
uwsgi-plugin-lua5.2 - 2.0.7-1+deb8u2
uwsgi-plugin-luajit - 2.0.7-1+deb8u2
uwsgi-plugin-php - 2.0.7-1+deb8u2
uwsgi-plugin-psgi - 2.0.7-1+deb8u2
uwsgi-plugin-python - 2.0.7-1+deb8u2
uwsgi-plugin-python3 - 2.0.7-1+deb8u2
uwsgi-plugin-rack-ruby2.1 - 2.0.7-1+deb8u2
uwsgi-plugin-rados - 2.0.7-1+deb8u2
uwsgi-plugin-rbthreads - 2.0.7-1+deb8u2
uwsgi-plugin-router-access - 2.0.7-1+deb8u2
uwsgi-plugin-sqlite3 - 2.0.7-1+deb8u2
uwsgi-plugin-v8 - 2.0.7-1+deb8u2
uwsgi-plugin-xslt - 2.0.7-1+deb8u2
uwsgi-plugins-all - 2.0.7-1+deb8u2
Ссылки
http://www.debian.org/security/dsa-4142/

Источник: CVE
Наименование: CVE-2018-7490
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7490