Информация по безопасности / 2012 / Информация о безопасности -- DSA-2567-1 request-tracker3.8

Рекомендация Debian по безопасности

DSA-2567-1 request-tracker3.8 -- несколько уязвимостей

Дата сообщения:

26.10.2012

Затронутые пакеты:

request-tracker3.8

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2012-4730, CVE-2012-4732, CVE-2012-4734, CVE-2012-4884, CVE-2012-6578, CVE-2012-6579, CVE-2012-6580, CVE-2012-6581.

Более подробная информация:

Несколько уязвимостей было обнаружено в Request Tracker (RT), системе отслеживания проблем.

• CVE-2012-4730

  Аутентифицированные пользователи могут добавлять произвольные заголовки или содержимое, создаваемое RT.

• CVE-2012-4732

  Подделка межсайтовых запросов может позволить злоумышленникам изменять закладки.

• CVE-2012-4734

  Если пользователи переходят по специально сформированному URI и входят в RT, то они могут вызвать действия, которые обычно блокируются специальной логикой, предназначенной для противодействия подделке межсайтовых запросов.

• CVE-2012-6578, CVE-2012-6579, CVE-2012-6580, CVE-2012-6581

  Несколько различных уязвимостей в процессе обработки GnuPG позволяют злоумышленникам создавать ситуацию, при которой RT некорректно подписывает исходящую почту.

• CVE-2012-4884

  Если включена поддержка GnuPG, то аутентифицированные пользователи могут создавать произвольные файлы от лица пользователя, запустившего веб-сервер, что может позволить выполнить произвольный код.

Заметьте, что если request-tracker3.8 используется совместно с веб-сервером Apache, то следует вручную остановить и запустить Apache. Механизм restart не рекомендуется использовать, особенно при использовании mod_perl.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 3.8.8-7+squeeze6.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 4.0.7-2 пакета request-tracker4 package.

Рекомендуется обновить пакеты request-tracker3.8.