Bulletin d'alerte Debian

DSA-4191-1 redmine -- Mise à jour de sécurité

Date du rapport :
3 mai 2018
Paquets concernés :
redmine
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 882544, Bogue 882545, Bogue 882547, Bogue 882548, Bogue 887307.
Dans le dictionnaire CVE du Mitre : CVE-2017-15568, CVE-2017-15569, CVE-2017-15570, CVE-2017-15571, CVE-2017-15572, CVE-2017-15573, CVE-2017-15574, CVE-2017-15575, CVE-2017-15576, CVE-2017-15577, CVE-2017-16804, CVE-2017-18026.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Redmine, une application web de gestion de projets, qui pourraient conduire à l'exécution distante de code, à une divulgation d'informations ou à des attaques par script intersite.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 3.3.1-4+deb9u1.

Nous vous recommandons de mettre à jour vos paquets redmine.

En complément, ce message sert à annoncer que le suivi de sécurité pour Redmine dans la version oldstable Debian 8 (Jessie) est maintenant arrêté.

Les utilisateurs de Redmine dans Debian 8 qui veulent des mises à jour de sécurité sont fortement encouragés à effectuer maintenant une mise à niveau vers la version stable actuelle Debian 9 (Stretch).

Pour disposer d'un état détaillé sur la sécurité de Redmine, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/redmine.