Debians sikkerhedsbulletin
DSA-973-1 otrs -- flere sårbarheder
- Rapporteret den:
- 15. feb 2006
- Berørte pakker:
- otrs
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 340352.
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 15537.
I Mitres CVE-ordbog: CVE-2005-3893, CVE-2005-3894, CVE-2005-3895. - Yderligere oplysninger:
-
Flere sårbarheder er opdaget i otrs, Open Ticket Request System, der kunne fjernudnyttes. Common Vulnerabilities and Exposures Project har fundet frem til følgende problemer:
- CVE-2005-3893
Flere sårbarheder i forbindelse med indsprøjtning af SQL gjorde det muligt for fjernangribere at udføre vilkårlige SQL-kommandoer og omgå autentificering.
- CVE-2005-3894
Flere sårbarheder i forbindelse med udførelse af skripter på tværs af websteder (cross-site scripting) gjorde det muligt for fjernautentificerede brugere at indsprøjte vilkårlige webskripter eller HTML.
- CVE-2005-3895
Internt vedhæftede text/html-meddelelser blev også behandlet som HTML, når moderatoren forsøgte at hente vedhæftelsen, hvilket gjorde det muligt for fjernangribere at udføre vilkårlige webskripter eller HTML.
Den gamle stabile distribution (woody) indeholder ikke OTRS-pakker.
I den stabile distribution (sarge) er disse problemer rettet i version 1.3.2p01-6.
I den ustabile distribution (sid) er disse problemer rettet i version 2.0.4p01-1.
Vi anbefaler at du opgraderer din otrs-pakke.
- CVE-2005-3893
- Rettet i:
-
Debian GNU/Linux 3.1 (sarge)
- Kildekode:
- http://security.debian.org/pool/updates/main/o/otrs/otrs_1.3.2p01-6.dsc
- http://security.debian.org/pool/updates/main/o/otrs/otrs_1.3.2p01-6.diff.gz
- http://security.debian.org/pool/updates/main/o/otrs/otrs_1.3.2p01.orig.tar.gz
- http://security.debian.org/pool/updates/main/o/otrs/otrs_1.3.2p01-6.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/o/otrs/otrs-doc-de_1.3.2p01-6_all.deb
- http://security.debian.org/pool/updates/main/o/otrs/otrs-doc-en_1.3.2p01-6_all.deb
- http://security.debian.org/pool/updates/main/o/otrs/otrs_1.3.2p01-6_all.deb
- http://security.debian.org/pool/updates/main/o/otrs/otrs-doc-en_1.3.2p01-6_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.