Bulletin d'alerte Debian

DLA-2198-1 otrs2 -- Mise à jour de sécurité pour LTS

Date du rapport :
1er mai 2020
Paquets concernés :
otrs2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-1770, CVE-2020-1772, CVE-2020-1774.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans otrs2 (système au code source ouvert de requêtes par tickets)

  • CVE-2020-1770

    La prise en charge de fichiers produits par grappe pouvait contenir des informations sensibles qui devraient demeurer confidentielles.

  • CVE-2020-1772

    Il était possible d’élaborer des requêtes de mot de passe perdu avec des jokers dans la valeur du jeton. Cela permettait à un attaquant de récupérer un ou des jetons valables, générés par des utilisateurs ayant déjà demandé un nouveau mot de passe.

  • CVE-2020-1774

    Lorsqu’un utilisateur téléchargeait un certificat ou une clé PGP ou S/MIME, un fichier exporté possédait le même nom pour la clé publique et privée. Il était donc possible de les combiner et d’envoyer la clé privée à la partie tierce au lieu de la clé publique.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 3.3.18-1+deb8u15.

Nous vous recommandons de mettre à jour vos paquets otrs2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.