Debians sikkerhedsbulletin

DSA-2671-1 request-tracker4 -- flere sårbarheder

Rapporteret den:
22. maj 2013
Berørte pakker:
request-tracker4
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2012-4733, CVE-2013-3368, CVE-2013-3369, CVE-2013-3370, CVE-2013-3371, CVE-2013-3372, CVE-2013-3373, CVE-2013-3374.
Yderligere oplysninger:

Flere sårbarheder er opdaget i Request Tracker, et udvidbart fejlsporingssystem. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2012-4733

    En bruger med ModifyTicket-rettigheder, kunne omgå DeleteTicket-rettigheden eller enhver tilpasset lifecycle transition-rettighed, og dermed ændre ticketdata uden autorisation.

  • CVE-2013-3368

    Kommandolinjeværktøjet rt anvendte delvist forudsigelige midlertidige filer. En ondsindet bruger kunne udnytte fejlen til at overskrive filer med rettighederne hørende til brugeren, der benytter kommandolinjeværktøjet rt.

  • CVE-2013-3369

    En ondsindet bruger, der har lov til at se administrative sider, kunne køre vilkårlige Mason-komponenter (uden kontrol af parametrene), hvilket måske kunne have negative bivirkninger.

  • CVE-2013-3370

    Request Tracker tillod direkte forespørgsler til private callback-komponenter, hvilket kunne anvendes til at udnytte en Request Tracker-udvidelse eller en lokal callback, som anvender modtagne parametre på usikker vis.

  • CVE-2013-3371

    Request Tracker var sårbar over for udførelse af skripter på tværs af websteder via vedhæftelsesfilnavne.

  • CVE-2013-3372

    Dominic Hargreaves opdagede at Request Tracker var sårbar over for en HTTP-headerindsprøjtning, begrænset til værdien af headeren Content-Disposition.

  • CVE-2013-3373

    Request Tracker var sårbar over for en MIME-headerindsprøjtning i udgående mails genereret af Request Tracker.

    Request Trackers medfølgende skabeloner rettes af denne opdatering, men eventuelt tilpassede mailskabeloner bør opdateres for at sikre, at værdier der havner i mailheadere ikke indeholder linjeskift.

  • CVE-2013-3374

    Request Tracker er sårbar over for begrænset sessionsgenbrug, når man anvender filbaseret sessionsopbevaring, Apache::Session::File. Dog benytter Request Trackers standardsessionsopsætning kun Apache::Session::File, når den er opsat til Oracle-databaser.

Denne version af Request Tracker indeholder en opdatering af databaseindhold. Hvis man benytter en dbconfig-håndteret database, vil man få tilbudt muligheden for at iværksætte det automatisk. Ellers kan man læse forklaringen i /usr/share/doc/request-tracker3.8/NEWS.Debian.gz for de manuelle trin, der skal udføres.

Bemærk at hvis man kører request-tracker3.8 under webserveren Apache, skal man starte og stoppe Apache manuelt. restart-mekanismen anbefales ikke, særligt hvis man anvender mod_perl eller enhver form for persistente Perl-processer så som FastCGI eller SpeedyCGI.

I den stabile distribution (wheezy), er disse problemer rettet i version 4.0.7-5+deb7u2.

I distributionen testing (jessie), vil disse problemer snart blive rettet.

I den ustabile distribution (sid), er disse problemer rettet i version 4.0.12-2.

Vi anbefaler at du opgraderer dine request-tracker4-pakker.