Bulletin d'alerte Debian

DSA-2671-1 request-tracker4 -- Plusieurs vulnérabilités

Date du rapport :
22 mai 2013
Paquets concernés :
request-tracker4
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-4733, CVE-2013-3368, CVE-2013-3369, CVE-2013-3370, CVE-2013-3371, CVE-2013-3372, CVE-2013-3373, CVE-2013-3374.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Request Tracker, un système paramétrable de suivi de problèmes. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2012-4733

    Un utilisateur avec le droit de modifier un ticket (ModifyTicket) peut contourner le droit de supprimer un ticket (DeleteTicket) et n’importe quel droit personnalisé de transition du cycle de vie et ainsi modifier des données de ticket sans autorisation.

  • CVE-2013-3368

    L’outil rt en ligne de commande utilise des fichiers temporaires partiellement prévisibles. Un utilisateur malveillant peut utiliser ce défaut pour écraser des fichiers avec les droits de l’utilisateur exécutant l’outil rt en ligne de commande.

  • CVE-2013-3369

    Un utilisateur malveillant autorisé à voir les pages d’administration peut exécuter des composants Mason arbitraires (sans contrôle des arguments), ce qui pourrait produire des effets secondaires négatifs.

  • CVE-2013-3370

    Request Tracker permet des requêtes directes aux composants de rappel privé, ce qui pourrait être utilisé pour exploiter une extension de Request Tracker ou un rappel local qui utilise les arguments qui lui sont passés de façon non sécurisée.

  • CVE-2013-3371

    Request Tracker est vulnérable aux attaques par script intersite à l'aide de noms de fichiers attachés.

  • CVE-2013-3372

    Dominic Hargreaves a découvert que Request Tracker est vulnérable à une injection d’en-tête HTTP limitée à la valeur de l’en-tête Content-Disposition.

  • CVE-2013-3373

    Request Tracker est vulnérable à une injection d’en-tête MIME dans les courriers sortants créés par Request Tracker.

    Les modèles initiaux de Request Tracker sont corrigés par cette mise à jour. En revanche, tous les modèles de message personnalisé devraient être mis à jour pour s'assurer que les valeurs insérées dans les en-têtes de messages ne contiennent pas de changements de lignes.

  • CVE-2013-3374

    Request Tracker est vulnérable à la réutilisation de session limitée lors de l'utilisation du stockage de session à base de fichier, Apache::Session::File. Cependant, la configuration de session par défaut de Request Tracker n’utilise Apache::Session::File qu’avec les bases de données Oracle.

Cette version de Request Tracker contient une mise à niveau de contenu de base de données. Si la base de données est gérée par dbconfig, la possibilité d'appliquer automatiquement cette mise à niveau sera proposée. Sinon, consultez les explications du fichier /usr/share/doc/request-tracker4/NEWS.Debian.gz pour connaître les étapes à réaliser vous-même.

Veuillez remarquer que, si vous exécutez request-tracker4 sous le serveur web Apache, vous devez arrêter et redémarrer Apache vous-même. Le mécanisme de redémarrage (restart) n’est pas recommandé, en particulier si vous utilisez mod_perl ou n’importe quelle forme de processus Perl persistant comme FastCGI ou SpeedyCGI.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 4.0.7-5+deb7u2.

Pour la distribution testing (Jessie), ces problèmes seront corrigés prochainement.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.0.12-2.

Nous vous recommandons de mettre à jour vos paquets request-tracker4.