Bulletin d'alerte Debian

DSA-2696-1 otrs2 -- Augmentation de droits

Date du rapport :
29 mai 2013
Paquets concernés :
otrs2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-3551.
Plus de précisions :

Une vulnérabilité a été découverte dans Open Ticket Request System (OTRS), un système d'ouverture de tickets, qui peut être exploitée par des utilisateurs malveillants pour éventuellement dévoiler des renseignements sensibles.

Un attaquant avec un identifiant d’agent valable pourrait manipuler des URL dans le mécanisme de découpage de ticket pour voir le contenu de tickets qu’il n’est pas autorisé à consulter.

La distribution oldstable (Squeeze) n'est pas concernée par ce problème.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 3.1.7+dfsg1-8+deb7u1.

Pour la distribution testing (Jessie), ce problème a été corrigé dans la version 3.2.7-1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.2.7-1.

Nous vous recommandons de mettre à jour vos paquets otrs2.