Debians sikkerhedsbulletin
DSA-2261-1 redmine -- flere sårbarheder
- Rapporteret den:
- 15. jun 2011
- Berørte pakker:
- redmine
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 608397.
- Yderligere oplysninger:
-
Joernchen fra Phenoelit opdagede flere sårbarheder i Redmine, en webprojekthåndteringsapplikation:
- Indloggede brugere kunne måske have mulighed for at tilgå private data.
- Textile-formateringen gjorde det muligt at udføre skripter på tværs af servere, hvorved følsomme data blev blotlagt for en angriber.
- Bazaar-arkivadapteren kunne anvendes fra en fjern maskine til at udføre kommandoer på værtsmaskinen, der kører Redmine.
Den gamle stabile distribution (lenny) indeholder ikke redmine-pakker.
I den stabile distribution (squeeze), er dette problem rettet i version 1.0.1-2.
I distributionen testing (wheezy) og i den ustabile distribution (sid), er dette problem rettet i version 1.0.5-1.
Vi anbefaler at du opgraderer dine redmine-pakker.