Bulletin d'alerte Debian

DSA-2261-1 redmine -- Plusieurs vulnérabilités

Date du rapport :
15 juin 2011
Paquets concernés :
redmine
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 608397.
Plus de précisions :

Joernchen de Phenoelit a découvert plusieurs vulnérabilités dans Redmine, une application web de gestion de projets :

  • les utilisateurs connectés pourraient accéder aux données privées ;
  • le formateur Textile permettait un script intersite, révélant des données sensibles à un attaquant.
  • l'adaptateur de dépôt Bazaar pourrait être utilisé pour exécuter des commandes à distance sur l'hôte exécutant Redmine.

La distribution oldstable (Lenny) ne contient pas de paquets redmine.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.0.1-2.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 1.0.5-1.

Nous vous recommandons de mettre à jour vos paquets redmine.