Debians sikkerhedsbulletin

DSA-2261-1 redmine -- flere sårbarheder

Rapporteret den:
15. jun 2011
Berørte pakker:
redmine
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 608397.
Yderligere oplysninger:

Joernchen fra Phenoelit opdagede flere sårbarheder i Redmine, en webprojekthåndteringsapplikation:

  • Indloggede brugere kunne måske have mulighed for at tilgå private data.
  • Textile-formateringen gjorde det muligt at udføre skripter på tværs af servere, hvorved følsomme data blev blotlagt for en angriber.
  • Bazaar-arkivadapteren kunne anvendes fra en fjern maskine til at udføre kommandoer på værtsmaskinen, der kører Redmine.

Den gamle stabile distribution (lenny) indeholder ikke redmine-pakker.

I den stabile distribution (squeeze), er dette problem rettet i version 1.0.1-2.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er dette problem rettet i version 1.0.5-1.

Vi anbefaler at du opgraderer dine redmine-pakker.