Bulletin d'alerte Debian

DSA-2480-4 request-tracker3.8 -- Plusieurs vulnérabilités

Date du rapport :

15 septembre 2012

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 674924, Bogue 675369.
Dans le dictionnaire CVE du Mitre : CVE-2011-2082, CVE-2011-2083, CVE-2011-2084, CVE-2011-2085, CVE-2011-4458, CVE-2011-4459, CVE-2011-4460.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Request Tracker, un système de suivi de problèmes :

CVE-2011-2082
Les scripts vulnerable-passwords ajoutés pour CVE-2011-0009 ont échoué à corriger les hachages de mots de passe des utilisateurs désactivés.
CVE-2011-2083
Plusieurs problèmes de script intersite ont été découverts.
CVE-2011-2084
Les hachages de mots de passe pourraient être dévoilés par les utilisateurs privilégiés.
CVE-2011-2085
Plusieurs vulnérabilités aux contrefaçons de requête intersite ont été découvertes. Si cette mise à jour casse votre installation, vous pouvez restaurer l'ancien comportement en réglant $RestrictReferrer à 0.
CVE-2011-4458
Le code de prise en charge des chemins de retour d'enveloppe de variable permettait l'exécution de code arbitraire.
CVE-2011-4459
Les groupes désactivés n'étaient pas totalement considérés désactivés.
CVE-2011-4460
Vulnérabilité d'injection SQL exploitable uniquement par les utilisateurs privilégiés.

Veuillez remarquer que si vous exécutez request-tracker3.8 sous le serveur web Apache, vous devez arrêter et relancer Apache manuellement. La commande restart n'est pas recommandée, en particulier quand mod_perl est utilisé.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 3.8.8-7+squeeze5.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.0.5-3.

Nous vous recommandons de mettre à jour vos paquets request-tracker3.8.