Рекомендация Debian по безопасности
DSA-1990-1 trac-git -- инъекция команд командной оболочки
- Дата сообщения:
- 03.02.2010
- Затронутые пакеты:
- trac-git
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 567039.
В каталоге Mitre CVE: CVE-2010-0394. - Более подробная информация:
-
Штефан Гёбель обнаружил, что версия trac-git в Debian, дополнения для поддержки Git в системе отслеживания проблем Trac, содержит уязвимость, которая позволяет злоумышленникам выполнять код на веб-сервере, на котором запущено trac-git, путём отправки специально сформированных HTTP-запросов.
В предыдущем стабильном выпуске (etch) пакет trac-git отсутствует.
В стабильном выпуске (lenny) эта проблема была исправлена в версии 0.0.20080710-3+lenny1.
В нестабильном (sid) и тестируемом (squeeze) выпусках эта проблема была исправлена в версии 0.0.20090320-1.
Рекомендуется обновить пакет trac-git.
- Исправлено в:
-
Debian GNU/Linux 5.0 (lenny)
- Исходный код:
- http://security.debian.org/pool/updates/main/t/trac-git/trac-git_0.0.20080710-3+lenny1.dsc
- http://security.debian.org/pool/updates/main/t/trac-git/trac-git_0.0.20080710-3+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/t/trac-git/trac-git_0.0.20080710.orig.tar.gz
- http://security.debian.org/pool/updates/main/t/trac-git/trac-git_0.0.20080710-3+lenny1.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/t/trac-git/trac-git_0.0.20080710-3+lenny1_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.