セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2150-1 request-tracker3.6

Debian セキュリティ勧告

DSA-2150-1 request-tracker3.6 -- パスワードハッシュ値作成時のソルト抜け

報告日時:

2011-01-22

影響を受けるパッケージ:

request-tracker3.6

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2011-0009.

詳細:

問題追跡システム Request Tracker がデータベースにパスワードを格納する 際に、強度の足りないハッシュ方法を用いていることが発見されました。攻撃 者がパスワードデータベースをアクセスできた場合、格納されているパスワー ドのデコードが可能です。

安定版 (stable) ディストリビューション (lenny) では、この問題はバージ ョン 3.6.7-5+lenny5 で修正されています。

テスト版 (squeeze) では、この問題は近く修正予定です。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 3.8.8-7 の request-tracker3.8 パッケージで修正されています。

直ぐに Request Tracker パッケージをアップグレードすることを勧めます。