Bulletin d'alerte Debian

DLA-1877-1 otrs2 -- Mise à jour de sécurité pour LTS

Date du rapport :
14 août 2019
Paquets concernés :
otrs2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-11563, CVE-2019-12746, CVE-2019-13458.
Plus de précisions :

Plusieurs problèmes de sécurité ont été corrigés dans otrs2, un système de tickets à problèmes bien connu.

  • CVE-2018-11563

    Un attaquant connecté dans OTRS comme client peut utiliser l’écran d’aperçu de tickets pour divulguer des informations internes d'article à leurs tickets de clients.

  • CVE-2019-12746

    Un utilisateur connecté dans OTRS comme agent pouvait divulguer à son insu son ID de session en partageant le lien d’un article de ticket embarqué avec des parties tierces. Cet identifiant peut être alors éventuellement utilisé pour se faire passer pour un utilisateur de l’agent.

  • CVE-2019-13458

    Un attaquant connecté dans OTRS comme utilisateur de l’agent avec les permissions adéquates peut exploiter des étiquettes OTRS dans des modèles pour pour divulguer des mots de passe chiffrés d’utilisateurs.

    À cause d’un correctif incomplet pour CVE-2019-12248, la visualisation de pièces jointes de courriel n’était plus possible. Cette mise à jour met en œuvre correctement la nouvelle option Ticket::Fronted::BlockLoadingRemoteContent.

    Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 3.3.18-1+deb8u11.

    Nous vous recommandons de mettre à jour vos paquets otrs2.

    Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.