Рекомендация Debian по безопасности

DSA-2671-1 request-tracker4 -- несколько уязвимостей

Дата сообщения:
22.05.2013
Затронутые пакеты:
request-tracker4
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2012-4733, CVE-2013-3368, CVE-2013-3369, CVE-2013-3370, CVE-2013-3371, CVE-2013-3372, CVE-2013-3373, CVE-2013-3374.
Более подробная информация:

В Request Tracker, расширяемой системе отслеживания сообщений об ошибках, были обнаружены несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2012-4733

    Пользователь с правом ModifyTicket может обходить право DeleteTicket или любых индивидуальные права перехода жизненного цикла и, таким образом, модифицировать данные билета без авторизации.

  • CVE-2013-3368

    Инструмент командной строки rt использует полупредсказуемые временные файлы. Пользователь может использовать эту утечку для перезаписи файлов с правами пользователя, запустившего команду rt.

  • CVE-2013-3369

    Пользователь, имеющий право просматривать страницы администрирования, может запустить произвольные компоненты Mason (без изменения аргументов), которые могут иметь негативные последствия.

  • CVE-2013-3370

    Request Tracker позволяет направлять запросы компонентам с частным обратным вызовом, которые могут использовать для недобросовестного использования расширения Request Tracker или локального обратного вызова, использующего переданные ему небезопасные аргументы.

  • CVE-2013-3371

    Request Tracker уязвим к атакам межсайтового скриптинга через имена прилагаемых файлов.

  • CVE-2013-3372

    Доминик Харгривс обнаружил, что Request Tracker уязвим к инъекции заголовка HTTP, ограниченной значением заголовка Content-Disposition.

  • CVE-2013-3373

    Request Tracker уязвим к инъекции заголовка MIME в исходящей почте, созданной Request Tracker.

    Встроенные шаблоны Request Tracker исправлены в данном обновлении. Тем не менее, любые индивидуальные шаблоны электронной почты следует обновить, чтобы вставляемые в заголовки сообщений значения не содержали символов новой строки.

  • CVE-2013-3374

    Request Tracker уязвим к ограниченному повторному использованию сессии при использовании хранилища сессий на основе файлов, Apache::Session::File. Тем не менее, настройка Request Tracker по умолчанию использует Apache::Session::File только в том случае, если используются базы данных Oracle.

Данная версия Request Tracker включает в себя обновление содержимого базы данных. Если вы используете базу данных, управляемую dbconfig, вам будет предложено на выбор автоматически применить данное обновление. В противном случае, см. объяснение в /usr/share/doc/request-tracker4/NEWS.Debian.gz, в котором обновление объяснено пошагово.

Заметьте, что если вы запустили request-tracker4 под веб-сервером Apache, вам следует вручную остановить и запустить Apache. Использование механизма restart не рекомендуется, особенно в том случае, если используется mod_perl или любая другая разновидность постоянного процесса Perl, такая как FastCGI или SpeedyCGI.

В стабильном выпуске (wheezy) эти проблема были исправлены в версии 4.0.7-5+deb7u2.

В тестируемом выпуске (jessie) эти проблемы будут исправлены позже.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 4.0.12-2.

Рекомендуется обновить пакеты request-tracker4.