Bulletin d'alerte Debian

DSA-1990-1 trac-git -- Injection de commande d'interpréteur

Date du rapport :
3 février 2010
Paquets concernés :
trac-git
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 567039.
Dans le dictionnaire CVE du Mitre : CVE-2010-0394.
Plus de précisions :

Stefan Goebel a découvert que la version Debian de trac-git, le greffon Git pour le système de suivi de problème Trac, contient un défaut. Cela permet aux attaquants d'exécuter du code sur le serveur web qui exécute trac-git en envoyant des requêtes HTTP contrefaites.

L'ancienne distribution stable (Etch) ne contient pas de paquet trac-git.

Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 0.0.20080710-3+lenny1.

Pour la distribution unstable (Sid) et la distribution testing (Squeeze), ce problème a été corrigé dans la version 0.0.20090320-1.

Nous vous recommandons de mettre à jour votre paquet trac-git.

Corrigé dans :

Debian GNU/Linux 5.0 (lenny)

Source :
http://security.debian.org/pool/updates/main/t/trac-git/trac-git_0.0.20080710-3+lenny1.dsc
http://security.debian.org/pool/updates/main/t/trac-git/trac-git_0.0.20080710-3+lenny1.diff.gz
http://security.debian.org/pool/updates/main/t/trac-git/trac-git_0.0.20080710.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/t/trac-git/trac-git_0.0.20080710-3+lenny1_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.