Рекомендация Debian по безопасности

DSA-1298-1 otrs2 -- отсутствие очистки ввода

Дата сообщения:
28.05.2007
Затронутые пакеты:
otrs2
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2007-2524.
Более подробная информация:

Было обнаружено, что Open Ticket Request System выполняет недостаточную очистку ввода для параметра Subaction, что позволяет осуществлять инъекцию произвольного веб-сценария.

В предыдущем стабильном выпуске (sarge) пакет otrs2 отсутствует.

В стабильном выпуске (etch) эта проблема была исправлена в версии 2.0.4p01-18.

Нестабильный выпуск (sid) не подвержен данной проблеме.

Рекомендуется обновить пакет otrs2.

Исправлено в:

Debian GNU/Linux 4.0 (etch)

Исходный код:
http://security.debian.org/pool/updates/main/o/otrs2/otrs2_2.0.4p01-18.dsc
http://security.debian.org/pool/updates/main/o/otrs2/otrs2_2.0.4p01-18.diff.gz
http://security.debian.org/pool/updates/main/o/otrs2/otrs2_2.0.4p01.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/o/otrs2/otrs2_2.0.4p01-18_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.