Bulletin d'alerte Debian

DSA-2567-1 request-tracker3.8 -- Plusieurs vulnérabilités

Date du rapport :

26 octobre 2012

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-4730, CVE-2012-4732, CVE-2012-4734, CVE-2012-4884, CVE-2012-6578, CVE-2012-6579, CVE-2012-6580, CVE-2012-6581.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Request Tracker (RT), un système de suivi de problème.

CVE-2012-4730
Les utilisateurs authentifiés peuvent ajouter des en-têtes ou du contenu arbitraires aux courriers générés par RT.
CVE-2012-4732
Une vulnérabilité de contrefaçon de requête intersite pourrait permettre aux attaquants de basculer les marque-pages de ticket.
CVE-2012-4734
Si les utilisateurs suivent une URI contrefaite et se connectent à RT, ils pourraient déclencher des actions qui auraient normalement été bloquées par la logique de prévention de contrefaçon de requête intersite.
CVE-2012-6578, CVE-2012-6579, CVE-2012-6580, CVE-2012-6581
Plusieurs vulnérabilités différentes dans le traitement de GnuPG permettent aux attaquants de forcer RT à signer les courriers sortant de façon incorrecte.
CVE-2012-4884
Si la prise en charge de GnuPG est activée, les utilisateurs authentifiés peuvent créer des fichiers arbitraires en tant que serveur web, ce qui pourrait activer l'exécution de code arbitraire.

Veuillez remarquer que si vous exécutez request-tracker3.8 avec le serveur web Apache, vous devez arrêter et relancer Apache vous-même. La commande restart n'est pas recommandée, en particulier quand mod_perl est utilisé.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 3.8.8-7+squeeze6.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.0.7-2 du paquet request-tracker4.

Nous vous recommandons de mettre à jour vos paquets request-tracker3.8.