Bulletin d'alerte Debian

DLA-987-1 request-tracker4 -- Mise à jour de sécurité pour LTS

Date du rapport :
15 juin 2017
Paquets concernés :
request-tracker4
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-6127, CVE-2017-5361, CVE-2017-5943, CVE-2017-5944.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Request Tracker, un système paramétrable de suivi de problèmes. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2016-6127

    Request Tracker est vulnérable à une attaque par script intersite (XSS) si un attaquant charge un fichier malveillant avec un certain type de contenu. Les installations qui utilisent le paramètre de configuration AlwaysDownloadAttachments ne sont pas affectées par ce défaut. Le correctif appliqué traite toutes les pièces attachées existantes et à venir.

  • CVE-2017-5361

    Request Tracker est vulnérable à des attaques temporelles par canal auxiliaire pour les mots de passe utilisateur.

  • CVE-2017-5943

    Request Tracker est prédisposé à une fuite d'informations de jetons de vérification de contrefaçon de requête intersite (CSRF), si un utilisateur est piégé par un attaquant en visitant une URL contrefaite pour l'occasion.

  • CVE-2017-5944

    Request Tracker est prédisposé à une vulnérabilité d'exécution de code distance dans l'interface de souscription du tableau de bord. Un attaquant privilégié peut tirer avantage de ce défaut grâce à des noms de recherches sauvegardées soigneusement contrefaites pour provoquer l'exécution de code inattendu. Le correctif appliqué traite toutes les recherches sauvegardées existantes et à venir.

En plus de CVE mentionnées ci-dessus, cette mise à jour contourne le CVE-2015-7686 dans Email::Address qui pourrait induire un déni de service de Request Tracker lui-même.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 4.0.7-5+deb7u5.

Nous vous recommandons de mettre à jour vos paquets request-tracker4.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.