Säkerhetsbulletin från Debian

DSA-2733-1 otrs2 -- SQL-injektion

Rapporterat den:
2013-08-02
Berörda paket:
otrs2
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2013-4717.
Ytterligare information:

Man har upptäckt att otrs2, the Open Ticket Request System, inte tillräckligt städar användar-tillhandahållen data som används vid SQL-förfrågningar. En angripare med en giltig agent-login kunde exploatera denna sårbarhet för att skapa SQL-förfrågningar genom att injicera skadlig SQL-kod genom manipulerade URLer.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 2.4.9+dfsg1-3+squeeze4. Denna uppdatering tillhandahåller även rättelser för CVE-2012-4751, CVE-2013-2625 and CVE-2013-4088, som redan är fixade i den stabila utgåvan.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 3.1.7+dfsg1-8+deb7u3.

För uttestningsutgåvan (Jessie) har detta problem rättats i version 3.2.9-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 3.2.9-1.

Vi rekommenderar att ni uppgraderar era otrs2-paket.