Рекомендация Debian по безопасности

DSA-2261-1 redmine -- несколько уязвимостей

Дата сообщения:
15.06.2011
Затронутые пакеты:
redmine
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 608397.
Более подробная информация:

Йорнхен из Phenoelit обнаружил несколько уязвимостей в Redmine, веб-приложении для управления проектом:

  • Вошедшие пользователи могут получить доступ к закрытым данным.
  • Инструмент разметки Textile позволяет осуществлять межсайтовый скриптинг, раскрывая злоумышленнику чувствительные данные.
  • Адаптер для репозиториев Bazaar может удалённо использоваться для выполнения команд на базовой машине с запущенным Redmine.

В предыдущем стабильном выпуске (lenny) пакеты redmine отсутствуют.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 1.0.1-2.

В тестируемом (wheezy) и нестабильном (sid) выпусках эта проблема была исправлена в версии 1.0.5-1.

Рекомендуется обновить пакеты redmine.