Рекомендация Debian по безопасности
DSA-951-2 trac -- отсутствие очистки входных данных
- Дата сообщения:
- 23.01.2006
- Затронутые пакеты:
- trac
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 348791.
В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 15720, Идентификатор BugTraq 16198.
В каталоге Mitre CVE: CVE-2005-4065, CVE-2005-4644. - Более подробная информация:
-
Данное обновление исправляет функции поиска в trac, расширенной вики и системе отслеживания проблем для проектов по разработке ПО, которые были сломаны в предыдущем обновлении безопасности. Для полноты ниже приводится изначальный текст рекомендации:
В trac, расширенной вики и системе отслеживания проблем для проектов по разработке ПО, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2005-4065
Из-за отсутствия очистки входных данных можно вводить произвольный SQL-код в утверждения SQL.
- CVE-2005-4644
Был обнаружен межсайтовый скриптинг, позволяющий удалённым злоумышленникам вводить произвольный веб-сценарий или код HTML.
В предыдущем стабильном выпуске (woody) пакеты trac отсутствуют.
В стабильном выпуске (sarge) эти проблемы были исправлены в версии 0.8.1-3sarge4.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 0.9.3-1.
Рекомендуется обновить пакет trac.
- CVE-2005-4065
- Исправлено в:
-
Debian GNU/Linux 3.1 (sarge)
- Исходный код:
- http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1-3sarge4.dsc
- http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1-3sarge4.diff.gz
- http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1-3sarge4.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1-3sarge4_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.
Контрольные суммы MD5 этих файлов доступны в пересмотренном сообщении.