Bulletin d'alerte Debian

DLA-158-1 request-tracker3.8 -- Mise à jour de sécurité pour LTS

Date du rapport :
27 février 2015
Paquets concernés :
request-tracker3.8
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-9472, CVE-2015-1165, CVE-2015-1464.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Request Tracker, un système paramétrable de suivi de problèmes. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2014-9472

    Christian Loos a découvert une vulnérabilité de déni de service distant, exploitable par la passerelle courriel et affectant toute installation qui accepte des courriers de sources non fiables. En fonction de la configuration de connexion de Request Tracker, un attaquant distant peut prendre avantage de ce défaut pour provoquer une utilisation excessive du processeur et du disque.

  • CVE-2015-1165

    Christian Loos a découvert un défaut de divulgation d'informations qui peut dévoiler les URL des flux RSS et donc des données de tickets.

  • CVE-2015-1464

    Les URL des flux RSS peuvent servir à réaliser un détournement de session, permettant à un utilisateur ayant l'URL de se connecter sous l'identité de l'utilisateur qui a créé le flux.

Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 3.8.8-7+squeeze9.

Nous vous recommandons de mettre à jour vos paquets request-tracker3.8.