Bulletin d'alerte Debian

DLA-298-1 roundup -- Mise à jour de sécurité pour LTS

Date du rapport :
23 août 2015
Paquets concernés :
roundup
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-6130, CVE-2012-6131, CVE-2012-6132, CVE-2012-6133.
Plus de précisions :
  • CVE-2012-6130

    Une vulnérabilité de script intersite (XSS) dans l'affichage de l'historique dans Roundup avant la version 1.4.20 permet à des attaquants distants d'injecter un script web arbitraire ou du code HTML à l'aide d'un nom d'utilisateur, vulnérabilité liée à la génération d'un lien.

  • CVE-2012-6131

    Une vulnérabilité de script intersite (XSS) dans cgi/client.py dans Roundup avant la version 1.4.20 permet à des attaquants distants d'injecter un script web arbitraire ou du code HTML à l'aide du paramètre @action de « support » ou « issue1 ».

  • CVE-2012-6132

    Une vulnérabilité de script intersite (XSS) dans Roundup avant la version 1.4.20 permet à des attaquants distants d'injecter un script web arbitraire ou du code HTML à l'aide du paramètre otk.

  • CVE-2012-6133

    Défauts de script intersite (XSS) dans les messages « ok » et « error ». Nous avons résolu ce problème de manière différente de ce qui était proposé dans le rapport de bogue, en n'autorisant plus *aucune* balise HTML dans ces messages.