Bulletin d'alerte Debian

DSA-951-2 trac -- Mauvaise vérification des entrées

Date du rapport :
23 janvier 2006
Paquets concernés :
trac
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 348791.
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 15720, Identifiant BugTraq 16198.
Dans le dictionnaire CVE du Mitre : CVE-2005-4065, CVE-2005-4644.
Plus de précisions :

Cette mise à jour corrige la fonction de recherche de trac, un système de wiki et de suivi des incidents destiné aux projets de développement logiciel, qui ne fonctionnait plus depuis la mise à jour de sécurité précédente. Voici ci-dessous l'intégralité du bulletin précédent :

Plusieurs vulnérabilités ont été découvertes dans trac, un système de wiki et de suivi des incidents destiné aux projets de développement logiciel. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :

  • CVE-2005-4065

    Une mauvaise vérification des entrées permettait d'injecter du code SQL arbitraire dans les expressions SQL.

  • CVE-2005-4644

    Une vulnérabilité d'un script intersites (« cross-site scripting ») permettait à des attaquants distants d'injecter des scripts web ou HTML arbitraires.

L'ancienne distribution stable (Woody) ne contient pas trac.

Pour l'actuelle distribution stable (Sarge), ces problèmes ont été corrigés dans la version 0.8.1-3sarge4.

Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 0.9.3-1.

Nous vous recommandons de mettre à jour votre paquet trac.

Corrigé dans :

Debian GNU/Linux 3.1 (sarge)

Source :
http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1-3sarge4.dsc
http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1-3sarge4.diff.gz
http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1-3sarge4_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.

Les sommes MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.