Рекомендация Debian по безопасности

DSA-2150-1 request-tracker3.6 -- создание хэша пароля без дополнительной модификации

Дата сообщения:
22.01.2011
Затронутые пакеты:
request-tracker3.6
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2011-0009.
Более подробная информация:

Было обнаружено, что Request Tracker, система отслеживания проблем, хранит пароли в своей базе данных, используя недостаточно стойкий метод хэширования. Если злоумышленник может получить доступ к базе данны паролей, то он может декодировать хранимые в ней пароли.

В стабильном выпуске (lenny) эта проблема была исправлена в версии 3.6.7-5+lenny5.

В тестируемом выпуске (squeeze) эта проблема будет исправлена позже.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 3.8.8-7 пакета request-tracker3.8.

Рекомендуется обновить пакеты Request Tracker.