Рекомендация Debian по безопасности

DSA-2536-1 otrs2 -- межсайтовый скриптинг

Дата сообщения:
30.08.2012
Затронутые пакеты:
otrs2
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2012-2582, CVE-2012-4600.
Более подробная информация:

Было обнаружено, что Open Ticket Request System (OTRS), система запроса билетов, содержит уязвимость, проявляющуюся в межсайтовом скриптинге, которая возникает при просмотре сообщений электронной почты через Internet Explorer. Данное обновление улучшает фильтр безопасности HTML, который теперь может обнаружить вложенные теги.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 2.4.9+dfsg1-3+squeeze3.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 3.1.7+dfsg1-5.

Рекомендуется обновить пакеты otrs2.