Рекомендация Debian по безопасности

DLA-158-1 request-tracker3.8 -- обновление безопасности LTS

Дата сообщения:
27.02.2015
Затронутые пакеты:
request-tracker3.8
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-9472, CVE-2015-1165, CVE-2015-1464.
Более подробная информация:

В Request Tracker, расширяемой системе отслеживания билетов, были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2014-9472

    Кристиан Лоос обнаружил вызываемый удалённо отказ в обслуживании, который может использоваться через узел электронной почты и который касается любой установки, принимающей почту из недоверенных источников. В зависимости от настроек журналирования в RT удалённый злоумышленник может использовать данную уязвимость для чрезмерного потребления ресурсов ЦП и пространства на диске.

  • CVE-2015-1165

    Кристиан Лоос обнаружил раскрытие информации, которое может приводить к раскрытию URL RSS-лент и, таким образом, данных билетов.

  • CVE-2015-1464

    Было обнаружено, что URL RSS-лент могут использоваться для хищения сессии, позволяя пользователю, имеющему соответствующий URL, входить от лица пользователя, создавшего ленту.

В предыдущем старом стабильном выпуске (squeeze) эти проблемы были исправлены в версии 3.8.8-7+squeeze9.

Рекомендуется обновить пакеты request-tracker3.8.