Debians sikkerhedsbulletin

DSA-2733-1 otrs2 -- SQL-indsprøjtning

Rapporteret den:
2. aug 2013
Berørte pakker:
otrs2
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2013-4717.
Yderligere oplysninger:

Man opdagede at otrs2, Open Ticket Request System, ikke på korrekt vis fornuftighedskontrollerede brugerleverede inddata, som anvendes i SQL-forespørgsler. En angriber med en gyldig login til systemet, kunne udnytte problemet til at fabrikere SQL-forespørgsler, ved at indsprøjte vilkårlig SQL-kode gennem manipulerede URL'er.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 2.4.9+dfsg1-3+squeeze4. Opdateringen indeholder også rettelser af CVE-2012-4751, CVE-2013-2625 og CVE-2013-4088, som alle allerede er rettet i den stabile udgave.

I den stabile distribution (wheezy), er dette problem rettet i version 3.1.7+dfsg1-8+deb7u3.

I distributionen testing (jessie), er dette problem rettet i version 3.2.9-1.

I den ustabile distribution (sid), er dette problem rettet i version 3.2.9-1.

Vi anbefaler at du opgraderer dine otrs2-pakker.