Trac文本格式报表信息泄露漏洞
来源:岁月联盟
时间:2009-12-26
Edgewall Software Trac < 0.11.6漏洞描述:
CVE(CAN) ID: CVE-2009-4405
Trac是用Python编写的基于Web的事件跟踪系统。
Trac在生成逗号分隔或制表符分隔的文本格式报表时没有正确地强制某些策略,用户无需必要的权限就可以从故障单中访问敏感信息。<*参考
http://secunia.com/advisories/37807
https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=542394
*>
SEBUG安全建议:
厂商补丁:
Edgewall Software
-----------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://trac.edgewall.org/browser/tags/trac-0.11.6/RELEASE
