Aviso de seguridad de Debian
DSA-739-1 trac -- olvido de sanear la entrada
- Fecha del informe:
- 6 de jul de 2005
- Paquetes afectados:
- trac
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 13990.
En el diccionario CVE de Mitre: CVE-2005-2147. - Información adicional:
-
Stefan Esser descubrió una debilidad en la validación de la entrada en Trac, un sistema de web inversa y de seguimiento de incidencias, que permite la descarga y la publicación de archivos y que podía llevar a la ejecución remota de código en algunas configuraciones.
La distribución estable anterior (woody) no contiene el paquete trac.
Para la distribución estable (sarge), este problema se ha corregido en la versión 0.8.1-3sarge2.
Para la distribución inestable (sid), este problema se ha corregido en versión 0.8.4-1.
Le recomendamos que actualice el paquete trac.
- Arreglado en:
-
Debian GNU/Linux 3.1 (sarge)
- Fuentes:
- http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1-3sarge2.dsc
- http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1-3sarge2.diff.gz
- http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1-3sarge2.diff.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/pool/updates/main/t/trac/trac_0.8.1-3sarge2_all.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.