Bulletin d'alerte Debian
DSA-1993-1 otrs2 -- Injection SQL
- Date du rapport :
- 10 février 2010
- Paquets concernés :
- otrs2
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2010-0438.
- Plus de précisions :
-
On a découvert qu'OTRS 2, un système d'ouverture de tickets, ne vérifie pas correctement les données d'entrée qui sont utilisées dans les requêtes SQL. Cela pourrait être utilisé pour injecter du SQL arbitraire afin, par exemple, d'augmenter des droits sur un système qui utilise OTRS 2.
La distribution oldstable (Etch) n'est pas concernée.
Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 2.2.7-2lenny3.
Pour la distribution testing (Squeeze), ce problème sera corrigé prochainement.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.4.7-1.
Nous vous recommandons de mettre à jour vos paquets otrs2.
- Corrigé dans :
-
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/o/otrs2/otrs2_2.2.7.orig.tar.gz
- http://security.debian.org/pool/updates/main/o/otrs2/otrs2_2.2.7-2lenny3.dsc
- http://security.debian.org/pool/updates/main/o/otrs2/otrs2_2.2.7-2lenny3.diff.gz
- http://security.debian.org/pool/updates/main/o/otrs2/otrs2_2.2.7-2lenny3.dsc
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/o/otrs2/otrs2_2.2.7-2lenny3_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.