Bulletin d'alerte Debian

DLA-1119-1 otrs2 -- Mise à jour de sécurité pour LTS

Date du rapport :
30 septembre 2017
Paquets concernés :
otrs2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 876462.
Dans le dictionnaire CVE du Mitre : CVE-2014-1695, CVE-2014-2553, CVE-2014-2554, CVE-2017-14635.
Plus de précisions :

Un attaquant qui est enregistré dans OTRS, un système de requête d’assistance, comme un agent avec permission d’écriture pour les statistiques peut injecter du code arbitraire dans le système. Cela peut conduire à des problèmes sérieux tels qu’une élévation des privilèges, une perte de données ou un déni de service. Ce problème est aussi répertorié dans CVE-2017-14635 et est résolu en mettant à niveau vers la dernière publication de l’amont d’OTRS3.

REMARQUES IMPORTANTES DE MISE À NIVEAU

Cette mise à jour nécessite une intervention manuelle. Nous vous recommandons de sauvegarder tous vos fichiers et base de données avant la mise à niveau. Si vous utilisez MySQL comme dorsal, vous devriez lire le rapport de bogue n° 707075 et le fichier README.Debian inclus fournissant des informations supplémentaires.

Si vous découvrez que le mode maintenance est toujours activé après la mise à jour, nous recommandons de supprimer /etc/otrs/maintenance.html et /var/lib/otrs/httpd/htdocs/maintenance.html ce qui résoudra ce problème.

De plus, les vulnérabilités suivantes ont été aussi corrigées.

  • CVE-2014-1695

    Vulnérabilité de script intersite (XSS) dans OTRS permettant à des attaquants distants d’injecter un script web arbitraire ou de l’HTML à l'aide d'un courriel HTML contrefait.

  • CVE-2014-2553

    Vulnérabilité de script intersite (XSS) dans OTRS permettant à un utilisateur distant authentifié d’injecter un script web arbitraire ou de l’HTML à l’aide de vecteurs relatifs aux champs dynamiques.

  • CVE-2014-2554

    OTRS permet à des attaquants distants de mener des attaques de détournement de clic à l'aide d'un élément IFRAME.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 3.3.18-1~deb7u1.

Nous vous recommandons de mettre à jour vos paquets otrs2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.