Säkerhetsbulletin från Debian
DSA-1993-1 otrs2 -- SQL-injicering
- Rapporterat den:
- 2010-02-10
- Berörda paket:
- otrs2
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2010-0438.
- Ytterligare information:
-
Det upptäcktes att otrs2, ett uppgiftshanteringssystem (Open Ticket Request System), inte städar indata korrekt innan det används i SQL-frågor, vilket kan användas för att injicera godtycklig SQL för att, till exempel, utöka rättigheter på ett system som använder otrs2.
Den gamla stabila utgåvan (Etch) påverkas inte.
För den stabila utgåvan (Lenny) har problemet rättats i version 2.2.7-2lenny3.
För uttestningsutgåvan (Squeeze) kommer problemet att rättas inom kort.
För den instabila utgåvan (Sid) har problemet rättats i version 2.4.7-1.
Vi rekommenderar att ni uppgraderar era otrs2-paket.
- Rättat i:
-
Debian GNU/Linux 5.0 (lenny)
- Källkod:
- http://security.debian.org/pool/updates/main/o/otrs2/otrs2_2.2.7.orig.tar.gz
- http://security.debian.org/pool/updates/main/o/otrs2/otrs2_2.2.7-2lenny3.dsc
- http://security.debian.org/pool/updates/main/o/otrs2/otrs2_2.2.7-2lenny3.diff.gz
- http://security.debian.org/pool/updates/main/o/otrs2/otrs2_2.2.7-2lenny3.dsc
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/o/otrs2/otrs2_2.2.7-2lenny3_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.