Debian-Sicherheitsankündigung

DSA-1209-2 trac -- Site-übergreifende Anfragefälschung

Datum des Berichts:
12. Nov 2006
Betroffene Pakete:
trac
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
Im Augenblick ist keine weitere externe Sicherheitsdatenbank-Referenz verfügbar.
Weitere Informationen:

Es wurde entdeckt, dass Trac, ein Wiki und Fehlerverfolgungssystem für Software-Entwicklungsprojekte, eine unzureichende Überprüfung gegen Site-übergreifende Anfragefälschungen durchführt, was dazu führen kann, dass ein Angreifer in der Lage ist, Manipulationen der Trac-Site mit den Rechten des angegriffenen Trac-Benutzers durchzuführen.

Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 0.8.1-3sarge7 behoben.

Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 0.10.1-1 behoben.

Wir empfehlen Ihnen, Ihr trac-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (sarge)

Quellcode:
http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1-3sarge7.dsc
http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1-3sarge7.diff.gz
http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1-3sarge7_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

MD5-Prüfsummen der aufgezählten Dateien stehen in der überarbeiteten Sicherheitsankündigung zur Verfügung.