Bulletin d'alerte Debian
DSA-1209-2 trac -- Falsification de requêtes intersites
- Date du rapport :
- 12 novembre 2006
- Paquets concernés :
- trac
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
- Plus de précisions :
-
On a découvert que Trac, un wiki et système de suivi de problèmes pour les projets de développement logiciel, n'effectuait pas de vérification suffisante sur la falsification de requêtes intersites, cela pourrait conduire un attaquant à pouvoir effectuer des manipulations sur le site Trac avec les privilèges de l'utilisateur Trac attaqué.
Pour la distribution stable (Sarge), ce problème a été corrigé dans la version 0.8.1-3sarge7.
Pour la distribution instable (Sid), ce problème a été corrigé dans la versions 0.10.1-1.
Nous vous recommandons de mettre à jour votre paquet trac.
- Corrigé dans :
-
Debian GNU/Linux 3.1 (sarge)
- Source :
- http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1-3sarge7.dsc
- http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1-3sarge7.diff.gz
- http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1-3sarge7.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1-3sarge7_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.
Les sommes MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.