Debian セキュリティ勧告
DSA-1990-1 trac-git -- シェルコマンドインジェクション
- 報告日時:
- 2010-02-03
- 影響を受けるパッケージ:
- trac-git
- 危険性:
- あり
- 参考セキュリティデータベース:
- Debian バグ追跡システム: バグ 567039.
Mitre の CVE 辞書: CVE-2010-0394. - 詳細:
-
Stefan Goebel さんにより、Trac 問題追跡システムの git アドオン trac-git に欠陥があり、攻撃者が trac-git を実行しているウェブサーバに細工した HTTP クエリを送信することで任意のコードの実行が行えることが発見されました。
旧安定版 (etch) には trac-git パッケージは収録されていません。
安定版 (stable) ディストリビューション (lenny) では、この問題はバージョン 0.0.20080710-3+lenny2 で修正されています。
テスト版 (testing) および不安定版 (unstable) ディストリビューション (squeeze および sid) では、この問題はバージョン 0.0.20090320-1 で修正さ れています。
直ぐに trac-git パッケージをアップグレードすることを勧めます。
- 修正:
-
Debian GNU/Linux 5.0 (lenny)
- ソース:
- http://security.debian.org/pool/updates/main/t/trac-git/trac-git_0.0.20080710-3+lenny1.dsc
- http://security.debian.org/pool/updates/main/t/trac-git/trac-git_0.0.20080710-3+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/t/trac-git/trac-git_0.0.20080710.orig.tar.gz
- http://security.debian.org/pool/updates/main/t/trac-git/trac-git_0.0.20080710-3+lenny1.diff.gz
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/pool/updates/main/t/trac-git/trac-git_0.0.20080710-3+lenny1_all.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。