Bulletin d'alerte Debian

DSA-1209-2 trac -- Falsification de requêtes intersites

Date du rapport :
12 novembre 2006
Paquets concernés :
trac
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
Plus de précisions :

On a découvert que Trac, un wiki et système de suivi de problèmes pour les projets de développement logiciel, n'effectuait pas de vérification suffisante sur la falsification de requêtes intersites, cela pourrait conduire un attaquant à pouvoir effectuer des manipulations sur le site Trac avec les privilèges de l'utilisateur Trac attaqué.

Pour la distribution stable (Sarge), ce problème a été corrigé dans la version 0.8.1-3sarge7.

Pour la distribution instable (Sid), ce problème a été corrigé dans la versions 0.10.1-1.

Nous vous recommandons de mettre à jour votre paquet trac.

Corrigé dans :

Debian GNU/Linux 3.1 (sarge)

Source :
http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1-3sarge7.dsc
http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1-3sarge7.diff.gz
http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1-3sarge7_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.

Les sommes MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.