Bulletin d'alerte Debian

DSA-2733-1 otrs2 -- Injection SQL

Date du rapport :
2 août 2013
Paquets concernés :
otrs2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-4717.
Plus de précisions :

otrs2, le système de requête de tickets ouverts, ne nettoie pas correctement les données fournies par l'utilisateur et utilisées dans les requêtes SQL. Un attaquant ayant un login valide pourrait exploiter ce problème pour fabriquer des requêtes SQL en injectant du code SQL arbitraire grâce aux URL manipulées.

Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 2.4.9+dfsg1-3+squeeze4. Cette mise à jour fournit également des corrections pour CVE-2012-4751, CVE-2013-2625 et CVE-2013-4088, qui ont toutes été déjà corrigées pour stable.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 3.1.7+dfsg1-8+deb7u3.

Pour la distribution testing (Jessie), ce problème a été corrigé dans la version 3.2.9-1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.2.9-1.

Nous vous recommandons de mettre à jour vos paquets otrs2.