此次安全漏洞更新包括roundcube、mercurial和oar更新。
漏洞概述
DSA-3541-1 roundcube— 安全更新
安全数据库详细信息:
- CVE-2015-8770:Roundcube邮箱客户端,发现一个路径遍历的脆弱性。攻击者可以利用此漏洞访问服务器上的敏感文件,甚至执行任意代码。
DSA-3542-1 mercurial— 安全更新
安全数据库详细信息:
mercurial是一个轻量级分布式版本控制系统,此次安全更新中发现的几个问题:
- CVE-2016-3068:当在进行clone的时候使用url获取git子仓库时导致执行任意代码;
- CVE-2016-3069:当以特定的名字对git仓库进行改名时会允许任意代码的执行;
- CVE-2016-3630:不正确执行二进制增量解码器的范围检查,这可能导致对克隆、推或拉的操作时的利用而远程执行代码。
DSA-3543-1 oar— 安全更新
安全数据库详细信息:
- CVE-2016-1235:OAR的oarsh命令(一个在HPC集群中用来管理任务和资源的软件)缺少必要的清理处理,这可能导致特权升级。
修复情况
roundcube的安全漏洞在1.1.4+dfsg.1-1版本得到修复;mercurial的安全漏洞在3.7.3-1版本得到修复;oar的安全漏洞在2.5.7-1版本得到修复。
请各位尽快更新系统以获取漏洞修复补丁。