Debian DLA-629-1：jackrabbit セキュリティ更新

high Nessus プラグイン ID 93569

Language:

概要

リモートの Debian ホストにセキュリティ更新がありません。

説明

Lukas Reschke 氏は、Java 用のコンテンツリポジトリ実装である Apache Jackrabbit が、Jackrabbit の webdav モジュールでクロスサイトリクエスト偽造に脆弱であることを発見しました。

POST リクエスト用の CSRF content-type チェックは、Content-Type ヘッダーフィールドの欠落を処理せず、フィールド値の大文字小文字の区別またはオプションパラメータに関しても検証しませんでした。これは、CSRF を介してリソースを作成するために悪用される可能性があります。

Debian 7「Wheezy」では、これらの問題はバージョン 2.3.6-1+deb7u2 で修正されました。

jackrabbit パッケージをアップグレードすることを推奨します。

注：Tenable Network Security は、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。