Debian セキュリティ勧告

DSA-1990-1 trac-git -- シェルコマンドインジェクション

報告日時:
2010-02-03
影響を受けるパッケージ:
trac-git
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 567039.
Mitre の CVE 辞書: CVE-2010-0394.
詳細:

Stefan Goebel さんにより、Trac 問題追跡システムの git アドオン trac-git に欠陥があり、攻撃者が trac-git を実行しているウェブサーバに細工した HTTP クエリを送信することで任意のコードの実行が行えることが発見されました。

旧安定版 (etch) には trac-git パッケージは収録されていません。

安定版 (stable) ディストリビューション (lenny) では、この問題はバージョン 0.0.20080710-3+lenny2 で修正されています。

テスト版 (testing) および不安定版 (unstable) ディストリビューション (squeeze および sid) では、この問題はバージョン 0.0.20090320-1 で修正さ れています。

直ぐに trac-git パッケージをアップグレードすることを勧めます。

修正:

Debian GNU/Linux 5.0 (lenny)

ソース:
http://security.debian.org/pool/updates/main/t/trac-git/trac-git_0.0.20080710-3+lenny1.dsc
http://security.debian.org/pool/updates/main/t/trac-git/trac-git_0.0.20080710-3+lenny1.diff.gz
http://security.debian.org/pool/updates/main/t/trac-git/trac-git_0.0.20080710.orig.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/t/trac-git/trac-git_0.0.20080710-3+lenny1_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。