Säkerhetsinformation / 2012 / Säkerhetsinformation -- DSA-2480-4 request-tracker3.8

Säkerhetsbulletin från Debian

DSA-2480-4 request-tracker3.8 -- flera sårbarheter

Rapporterat den:

2012-09-15

Berörda paket:

request-tracker3.8

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 674924, Fel 675369.
I Mitres CVE-förteckning: CVE-2011-2082, CVE-2011-2083, CVE-2011-2084, CVE-2011-2085, CVE-2011-4458, CVE-2011-4459, CVE-2011-4460.

Ytterligare information:

Flera sårbarheter har upptäckts i Request Tracker, ett felspårningssystem:

• CVE-2011-2082

  Vulnerable-passwords-skripten som introducerades i CVE-2011-0009 misslyckades att korrigera lösenordshasherna för inaktiverade användare.

• CVE-2011-2083

  Flera domänöverskridande skriptproblem har upptäckts.

• CVE-2011-2084

  Lösenordshashar kunde avslöjas av priviligierade användare.

• CVE-2011-2085

  Flera serveröverskridande anropsförfalskningssårbarheter har upptäckts. Om denna uppdatering får din installation att sluta fungera så kan du få det gamla beteendet genom att sätta $RestrictReferrer till 0.

• CVE-2011-4458

  Koden för att ge stöd för variable envelope-returvägar tillät körning av godtycklig kod.

• CVE-2011-4459

  Inaktiverade grupper blev inte helt registrerade som inaktiverade.

• CVE-2011-4460

  SQL-injiceringssårbarhet, endast exploaterbar av priviligierade användare.

Vänligen notera att om du kör request-tracker3.8 under webbservern Apache, så måste du stoppa och starta Apache för hand. restart-mekanismen rekommenderas inte, speciellt vid användning av mod_perl.

För den stabila utgåvan (Squeeze) har dessa problem rättats i version 3.8.8-7+squeeze5.

För den instabila utgåvan (Sid) har dessa problem rättats i version 4.0.5-3.

Vi rekommenderar att ni uppgraderar era request-tracker3.8-paket.