Рекомендация Debian по безопасности

DSA-2696-1 otrs2 -- повышение привилегий

Дата сообщения:
29.05.2013
Затронутые пакеты:
otrs2
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2013-3551.
Более подробная информация:

В Open Ticket Request System была обнаружена уязвимость, которая может использоваться пользователями для раскрытия потенциально чувствительной информации.

Атакующий с корректным логином агента может управлять URL в механизме разделения билета и, таким образом, просматривать содержание билетов, которые ему смотреть запрещено.

Предыдущий стабильный выпуск (squeeze) не подвержен данной проблеме.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 3.1.7+dfsg1-8+deb7u1.

В тестируемом выпуске (jessie) эта проблема была исправлена в версии 3.2.7-1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 3.2.7-1.

Рекомендуется обновить пакеты otrs2.