Информация по безопасности / 2011 / Информация о безопасности -- DSA-2150-1 request-tracker3.6

Рекомендация Debian по безопасности

DSA-2150-1 request-tracker3.6 -- создание хэша пароля без дополнительной модификации

Дата сообщения:

22.01.2011

Затронутые пакеты:

request-tracker3.6

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2011-0009.

Более подробная информация:

Было обнаружено, что Request Tracker, система отслеживания проблем, хранит пароли в своей базе данных, используя недостаточно стойкий метод хэширования. Если злоумышленник может получить доступ к базе данных паролей, то он может декодировать хранимые в ней пароли.

В стабильном выпуске (lenny) эта проблема была исправлена в версии 3.6.7-5+lenny5.

В тестируемом выпуске (squeeze) эта проблема будет исправлена позже.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 3.8.8-7 пакета request-tracker3.8.

Рекомендуется обновить пакеты Request Tracker.