Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2150-1 request-tracker3.6

Debians sikkerhedsbulletin

DSA-2150-1 request-tracker3.6 -- unsalted adgangskodehashing

Rapporteret den:

22. jan 2011

Berørte pakker:

request-tracker3.6

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2011-0009.

Yderligere oplysninger:

Man opdagede at Request Tracker, et sagssporingssystem, gemte adgangskoder i sin database med brug af en utilstrækkelig stærkt hashingmetode. Hvis en angriber havde adgang til adgangskodedatabasen, kunne vedkommende dekode adgangskoderne opbevaret i den.

I den stabile distribution (lenny), er dette problem rettet i version 3.6.7-5+lenny5.

Distribution testing (squeeze) vil snart blive rettet.

I den ustabile distribution (sid), er dette problem rettet i version 3.8.8-7 of the request-tracker3.8 package.

Vi anbefaler at du opgraderer dine Request Tracker-pakker.