Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2150-1 request-tracker3.6

Bulletin d'alerte Debian

DSA-2150-1 request-tracker3.6 -- Hachage de mot de passe sans sel

Date du rapport :

22 janvier 2011

Paquets concernés :

request-tracker3.6

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-0009.

Plus de précisions :

Il a été découvert que Request Tracker, un système de suivi de problème, utilisait une méthode de hachage trop faible pour stocker les mots de passe dans sa base de données. Si un attaquant avait eu accès à la base de données de mots de passe, il aurait pu décoder les mots de passe qui y étaient stockés.

Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 3.6.7-5+lenny5.

Pour la distribution testing (Squeeze), ce problème sera corrigé bientôt.

Pour la distribution unstable (Sid) ce problème a été corrigé dans la version 3.8.8-7 du paquet request-tracker3.8.

Nous vous recommandons de mettre à jour vos paquets Request Tracker.