GLSA 200612-14: Trac: Cross-site request forgery
| Опасность: | низкая |
| Заголовок: | Trac: Cross-site request forgery |
| Дата: | 12.12.2006 |
| Ошибки: | |
| ID: | 200612-14 |
Сводка
Trac allows remote attackers to execute unauthorized actions as other users.Назначение
Trac is a wiki and issue tracking system for software development projects.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| www-apps/trac | < 0.10.1 | >= 0.10.1 | All supported architectures |
Описание
Trac allows users to perform certain tasks via HTTP requests without performing correct validation on those requests.
Воздействие
An attacker could entice an authenticated user to browse to a specially crafted URL, allowing the attacker to execute actions in the Trac instance as if they were the user.
Обход
There is no known workaround at this time.
Решение
All Trac users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=www-apps/trac-0.10.1"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.