Debian セキュリティ勧告

DSA-2670-1 request-tracker3.8 -- 複数の脆弱性

報告日時:
2013-05-22
影響を受けるパッケージ:
request-tracker3.8
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2013-3368, CVE-2013-3369, CVE-2013-3370, CVE-2013-3371, CVE-2013-3372, CVE-2013-3373, CVE-2013-3374.
詳細:

複数の脆弱性が拡張性のある問題追跡システム Request Tracker に発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

  • CVE-2013-3368

    rt コマンドラインツールが半ば予測可能な一時ファイルを利用しています。 悪意のあるユーザがこの欠陥によって rt コマンドラインツールを実行している ユーザの権限でファイルを上書きすることが可能です。

  • CVE-2013-3369

    管理用ページの閲覧を許された悪意のあるユーザが任意の Mason 構成要素を (引数による制御無しで) 実行することが可能です。 これには負の副作用があるかもしれません。

  • CVE-2013-3370

    Request Tracker はプライベートのコールバック構成要素への直接のリクエストを許します。これを Request Tracker 拡張や安全でない方法により渡される引数を利用する ローカルのコールバックに対して悪用することが可能です。

  • CVE-2013-3371

    Request Tracker は添付ファイル名を経由したクロスサイトスクリプティング攻撃に対して脆弱です。

  • CVE-2013-3372

    Dominic Hargreaves さんが、Content-Disposition ヘッダの値に限定した HTTP ヘッダ差し込みに対して Request Tracker が脆弱であることを発見しました。

  • CVE-2013-3373

    Request Tracker は Request Tracker により生成され外部に出て行くメールへの MIME ヘッダ差し込みに対して脆弱です。

    Request Tracker 自体が持っているテンプレートについてはこの更新により解決されます。 しかし独自のメール用テンプレートを使っている場合は、 メールヘッダ改変部に改行が入ることのないように更新してください。

  • CVE-2013-3374

    Request Tracker はファイルベースのセッション保存機構 Apache::Session::File を使っている場合に、限定されたセッション再利用に対して脆弱です。ただし、Request Tracker のデフォルトのセッション設定では Oracle データベースを使うように設定した場合にのみ Apache::Session::File を使うようになっています。

このバージョンの Request Tracker にはデータベースの内容のアップグレードが伴うことになります。dbconfig により管理されるデータベースを使っている場合は自動的に適用するオプション が提示されるでしょう。該当しない場合はこれを手作業で行う手順について /usr/share/doc/request-tracker3.8/NEWS.Debian.gz の説明を見てください。

request-tracker3.8 を Apache ウェブサーバで使っている場合は手作業で Apache を停止、再起動しなければならないことに注意してください。restart 機構は特に mod_perl やその他 FastCGI や SpeedyCGI のように持続性の Perl プロセスを使う仕組みを利用している場合には勧められません。

旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題はバージョン 3.8.8-7+squeeze7 で修正されています。

安定版 (stable) やテスト版 (testing)、不安定版 (unstable) ディストリビューションには request-tracker3.8 は収録されず、request-tracker4 に置き換えられています。

直ちに request-tracker3.8 パッケージをアップグレードすることを勧めます。