Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2261-1 redmine

Bulletin d'alerte Debian

DSA-2261-1 redmine -- Plusieurs vulnérabilités

Date du rapport :

15 juin 2011

Paquets concernés :

redmine

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 608397.

Plus de précisions :

Joernchen de Phenoelit a découvert plusieurs vulnérabilités dans Redmine, une application web de gestion de projets :

• les utilisateurs connectés pourraient accéder aux données privées ;
• le formateur Textile permettait un script intersite, révélant des données sensibles à un attaquant.
• l'adaptateur de dépôt Bazaar pourrait être utilisé pour exécuter des commandes à distance sur l'hôte exécutant Redmine.

La distribution oldstable (Lenny) ne contient pas de paquets redmine.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.0.1-2.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 1.0.5-1.

Nous vous recommandons de mettre à jour vos paquets redmine.