Bulletin d'alerte Debian
DLA-1877-1 otrs2 -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 14 août 2019
- Paquets concernés :
- otrs2
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2018-11563, CVE-2019-12746, CVE-2019-13458.
- Plus de précisions :
-
Plusieurs problèmes de sécurité ont été corrigés dans otrs2, un système de tickets à problèmes bien connu.
- CVE-2018-11563
Un attaquant connecté dans OTRS comme client peut utiliser l’écran d’aperçu de tickets pour divulguer des informations internes d'article à leurs tickets de clients.
- CVE-2019-12746
Un utilisateur connecté dans OTRS comme agent pouvait divulguer à son insu son ID de session en partageant le lien d’un article de ticket embarqué avec des parties tierces. Cet identifiant peut être alors éventuellement utilisé pour se faire passer pour un utilisateur de l’agent.
- CVE-2019-13458
Un attaquant connecté dans OTRS comme utilisateur de l’agent avec les permissions adéquates peut exploiter des étiquettes OTRS dans des modèles pour pour divulguer des mots de passe chiffrés d’utilisateurs.
À cause d’un correctif incomplet pour CVE-2019-12248, la visualisation de pièces jointes de courriel n’était plus possible. Cette mise à jour met en œuvre correctement la nouvelle option Ticket::Fronted::BlockLoadingRemoteContent.
Pour Debian 8
Jessie
, ces problèmes ont été corrigés dans la version 3.3.18-1+deb8u11.Nous vous recommandons de mettre à jour vos paquets otrs2.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2018-11563