Aviso de seguridad de Debian
DSA-951-2 trac -- olvido de sanear la entrada
- Fecha del informe:
- 23 de ene de 2006
- Paquetes afectados:
- trac
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el sistema de seguimiento de errores de Debian: error 348791.
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 15720, Id. en BugTraq 16198.
En el diccionario CVE de Mitre: CVE-2005-4065, CVE-2005-4644. - Información adicional:
-
Esta actualización corrige la característica de búsqueda en trac, un wiki y sistema de seguimiento de fallos avanzado para proyectos de desarrollo de software, que dejó de funcionar en la última actualización de seguridad. Para una mejor comprensión del problema y de su solución, se reproduce el texto del aviso original:
Se han descubierto varias vulnerabilidades en trac, un sistema de wiki avanzado y de seguimiento de incidencias para proyectos de desarrollo de software. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:
- CVE-2005-4065
Debido a un olvido de sanear la entrada, era posible inyectar código SQL arbitrario en las sentencias SQL.
- CVE-2005-4644
Se ha descubierto una vulnerabilidad de guiones a través del sitio que permitía que los atacantes remotos inyectasen guiones web o HTML arbitrario.
La distribución estable anterior (woody) no contiene los paquetes de trac.
Para la distribución estable (sarge), estos problemas se han corregido en la versión 0.8.1-3sarge4.
Para la distribución inestable (sid), estos problemas se han corregido en la versión 0.9.3-1.
Le recomendamos que actualice el paquete trac.
- CVE-2005-4065
- Arreglado en:
-
Debian GNU/Linux 3.1 (sarge)
- Fuentes:
- http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1-3sarge4.dsc
- http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1-3sarge4.diff.gz
- http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1-3sarge4.diff.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1-3sarge4_all.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso revisado.