Bulletin d'alerte Debian

DLA-2079-1 otrs2 -- Mise à jour de sécurité pour LTS

Date du rapport :
29 janvier 2020
Paquets concernés :
otrs2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-1765, CVE-2020-1766, CVE-2020-1767.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le paquet otrs2 qui pourraient conduire à un accès non autorisé, une exécution de code à distance et une usurpation.

  • CVE-2020-1765

    Un contrôle incorrect de paramètres permet l’usurpation des champs from des écrans suivants : AgentTicketCompose, AgentTicketForward, AgentTicketBounce.

  • CVE-2020-1766

    À cause d’un traitement incorrect d’images téléchargées, il est possible dans des conditions très improbables et rares d’obliger le navigateur des agents à exécuter du javascript malveillant à partir d’un fichier SVG spécialement contrefait, rendu comme un fichier jpg interne.

  • CVE-2020-1767

    À partir de vues non autorisées de brouillons, le texte pouvait être modifié complètement et envoyer au nom du propriétaire du brouillon. Pour le client, il n’était pas visible que le message était envoyé par un autre agent.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 3.3.18-1+deb8u13.

Nous vous recommandons de mettre à jour vos paquets otrs2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.