Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2220-1 request-tracker3.6, request-tracker3.8

Bulletin d'alerte Debian

DSA-2220-1 request-tracker3.6, request-tracker3.8 -- Plusieurs vulnérabilités

Date du rapport :

19 avril 2011

Paquets concernés :

request-tracker3.6, request-tracker3.8

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-1685, CVE-2011-1686, CVE-2011-1687, CVE-2011-1688, CVE-2011-1689, CVE-2011-1690.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Request Tracker, un système de suivi de problèmes.

• CVE-2011-1685

  Si la fonctionnalité de champ externe personnalisé est activée, Request Tracker permet aux utilisateurs authentifiés d'exécuter du code arbitraire avec les droits du serveur web, éventuellement déclenché par une attaque de contrefaçon de requête intersite (les champs externes personnalisés sont désactivés par défaut).

• CVE-2011-1686

  Plusieurs attaques d'injection SQL permettent aux utilisateurs authentifiés d'obtenir des données de la base de données par un moyen non autorisé.

• CVE-2011-1687

  Une fuite d'informations permet à un utilisateur authentifié avec des droits étendus d'obtenir des renseignements sensibles, comme des mots de passe chiffrés, par l'intermédiaire de l'interface de recherche.

• CVE-2011-1688

  Lors d'une exécution sous certains serveurs web (comme Lighttpd), Request Tracker est vulnérable à une attaque de traversée de répertoires, permettant aux attaquants de lire n'importe quel fichier accessible au serveur web. Les instances de Request Tracker exécutées sous Apache ou Nginx ne sont pas concernées.

• CVE-2011-1689

  Request Tracker contient plusieurs vulnérabilités de script intersite.

• CVE-2011-1690

  Request Tracker permet aux attaquants de rediriger les paramètres d'authentification fournis par des utilisateurs légitimes vers des serveurs tiers.

Pour la distribution oldstable (Lenny), ces problèmes ont été corrigés dans la version 3.6.7-5+lenny6 du paquet request-tracker3.6.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 3.8.8-7+squeeze1 du paquet request-tracker3.8.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.8.10-1 du paquet request-tracker3.8.

Nous vous recommandons de mettre à jour vos paquets Request Tracker.