LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2018 / Informations sur la sécurité -- DLA-1592-1 otrs2

Bulletin d'alerte Debian

DLA-1592-1 otrs2 -- Mise à jour de sécurité pour LTS

Date du rapport :

23 novembre 2018

Paquets concernés :

otrs2

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-19141, CVE-2018-19143.

Plus de précisions :

Deux vulnérabilités de sécurité ont été découvertes dans OTRS, un système de requête d’assistance (Ticket Request System) qui pourraient conduire à une augmentation de droits ou à l’écriture de fichier arbitraire.

• CVE-2018-19141

  Un attaquant connecté dans OTRS comme utilisateur administrateur peut manipuler l’URL pour provoquer l’exécution de JavaScript dans le contexte d’OTRS.

• CVE-2018-19143

  Un attaquant connecté dans OTRS comme utilisateur peut manipuler le formulaire de soumission pour provoquer la suppression de fichiers arbitraires dont l’utilisateur du serveur web OTRS possède les droits d’écriture.

Veuillez aussi lire l’alerte de l’amont pour CVE-2018-19141. Si vous pensez être affecté, vous devriez songer à exécuter les déclarations SQL de nettoyage mentionnées pour enlever les enregistrements pouvant être touchés.

https://community.otrs.com/security-advisory-2018-09-security-update-for-otrs-framework/

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 3.3.18-1+deb8u7.

Nous vous recommandons de mettre à jour vos paquets otrs2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.