Обновления безопасности roundcube, mercurial и oar.

 

Сведения об уязвимости

DSA-3541-1 roundcube— Security Update

Сведения о базе данных безопасности:

CVE-2015-8770: Исследовательская лаборатория High-Tech Bridge Security обнаружила, что Roundcube, клиент электронной почты, содержал уязвимость при обходе пути. Эта уязвимость может быть использована злоумышленником для доступа к конфиденциальным файлам на сервере или даже для выполнения произвольного кода.

 

DSA-3542-1 mercurial— Security Update

Сведения о базе данных безопасности:

В Mercurial обнаружена несколько уязвимостей - распределенная система контроля версий. Проект Common Vulnerabilities and Exposures выявляет следующие проблемы:

  • CVE-2016-3068 : Блейк Буркхарт обнаружил, что Mercurial позволяет URL-адреса для подтипов Git, которые могут привести к выполнению произвольного кода на клоне.
  • CVE-2016-3069 : Блейк Буркхарт обнаружил, что Mercurial допускает произвольное выполнение кода при преобразовании репозиториев Git со специально созданными именами.
  • CVE-2016-3630:Было обнаружено, что Mercurial не выполняет должным образом проверку границ в своем бинарном дельта-декодере, что может быть использовано для удаленного выполнения кода через клон, push или pull.

 

DSA-3543-1 oar— Обновление Безопасности

Сведения о базе данных безопасности:

  • CVE-2016-1235: Эммануэль Том обнаружил, что отсутствие дезинфекции в суровой команде OAR, программного обеспечения, используемого для управления заданиями и ресурсами кластеров HPC, может привести к эскалации привилегий.

 

Фиксация состояния

Уязвимости roundcube были исправлены в версии 1.1.4 + dfsg.1-1; В версии 3.7.3-1 исправлены уязвимости в отношении мерцательной безопасности; Уязвимости безопасности oar были исправлены в версии 2.5.7-1.

Мы рекомендуем вам обновить систему, чтобы получить исправления для устранения уязвимостей.

Добавить комментарий