La actualización de seguridad para roundcube, mercurial y oar.

 

Información de vulnerabilidades

DSA-3541-1 roundcube— Actualización de seguridad

Detalles de la seguridad de bases de datos

CVE-2015-8770: High-Tech Bridge Security Research Lab encontró que Roundcube, un cliente webmail , Contenía una vulnerabilidad de recorrido de ruta. Esta falla podría ser explotada por un atacante para acceder a los archivos sensibles en el servidor, o ejecutar código arbitrario.

 

DSA-3542-1 mercurial— Actualización de seguridad

Detalles de la seguridad de bases de datos

Múltiples vulnerabilidades han sido encontradas en mercurial , una versión distribuida para el control del sistema. The Common Vulnerabilities and Exposures project identifica los siguientes problemas.

  • CVE-2016-3068: Blake Burkhart encontro que Mercurial Permite a las direcciones URL para subrepositorios Git podrían resultar en ejecución arbitraria de código dentro del clon.
  • CVE-2016-3069: Blake Burkhart encontró que Mercurial Permite la ejecución de código arbitrario al convertir repositorios Git con nombres especial mente diseñados.
  • CVE-2016-3630: Se descubrió que mercurial no funciona correctamente con los limites de comprobación en su decodificador binario delta, el cual se puede aprovechar para la ejecución remota de código a través de un clon usando push o pull.

 

DSA-3543-1 oar— Actualización de seguridad

Detalles de la seguridad de bases de datos

  • CVE-2016-1235: Emmanuel Thome descubrió que la falta de saneamiento en el comando oarsh de OAR, un software utilizado para administrar los trabajos y los recursos de los clusters HPC, podría dar lugar una escalada de privilegios.

 

Estado de Corrección

Las vulnerabilidades de seguridad de roundcube se han corregido en la versión 1.1.4 + dfsg.1-1; Las vulnerabilidades de seguridad de Mercurial se han corregido en la versión 3.7.3-1; Las vulnerabilidades de seguridad de OAR se han corregido en la versión 2.5.7-1.

Le recomendamos que actualice el sistema para obtener los parches para solucionar las vulnerabilidades.

Deja un comentario