Fedora 20:ReviewBoard-1.7.16-2.fc20 / python-djblets-0.7.21-1.fc20 (2013-18840)
medium Nessus Plugin ID 70815
語系:
概要
遠端 Fedora 主機缺少一個或多個安全性更新。說明
Review Board 1.6.19 和 1.7.15 版修正了 API 中的多個問題,原本使用者只要使用「本機網站」功能、僅限受邀群組或私人存放庫,就可存取他們不應存取的特定資料。此外還修正了僅限受邀群組的案例,其中群組名稱和私人檢閱要求清單都會顯示在某些頁面上 (不過檢閱要求本身不供存取)。這些問題不會影響目前大部分的安裝,但我們仍強烈建議立即升級。目前尚無這些錯誤遭到惡意利用的已知案例,而我們是在構建新工具以測試程式碼基底的安全性弱點時,從內部發現到這些弱點的。
此外,還有一些其他錯誤修正,以及自行提供 REST API 的延伸模組適用的重要必要變更。
請注意,Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。
解決方案
更新受影響的 ReviewBoard 和/或 python-djblets 套件。另請參閱
https://bugzilla.redhat.com/show_bug.cgi?id=1016596
https://bugzilla.redhat.com/show_bug.cgi?id=1016599
https://bugzilla.redhat.com/show_bug.cgi?id=1016601
Plugin 詳細資訊
嚴重性: Medium
ID: 70815
檔案名稱: fedora_2013-18840.nasl
版本: 1.8
類型: local
代理程式: unix
已發布: 2013/11/11
已更新: 2021/1/11
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: Medium
基本分數: 5.1
時間分數: 4.4
媒介: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P
弱點資訊
CPE: p-cpe:/a:fedoraproject:fedora:reviewboard, p-cpe:/a:fedoraproject:fedora:python-djblets, cpe:/o:fedoraproject:fedora:20
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2013/10/11
參考資訊
CVE: CVE-2013-4409, CVE-2013-4410, CVE-2013-4411
FEDORA: 2013-18840