Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2696-1 otrs2

Debians sikkerhedsbulletin

DSA-2696-1 otrs2 -- rettighedsforøgelse

Rapporteret den:

29. maj 2013

Berørte pakker:

otrs2

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2013-3551.

Yderligere oplysninger:

En sårbarhed er opdaget i Open Ticket Request System, og den kunne udnyttes af ondsindede brugere til at afsløre potentielt følsomme oplysninger.

En angriber med en gyldig login, kunne manipulere URL'er i mekanismen til opsplitning af registreringer, med det formål at se registreringer, der ikke er rettigheder til.

Den gamle stabile distribution (squeeze) er ikke påvirket af problemet.

I den stabile distribution (wheezy), er dette problem rettet i version 3.1.7+dfsg1-8+deb7u1.

I distributionen testing (jessie), er dette problem rettet i version 3.2.7-1.

I den ustabile distribution (sid), er dette problem rettet i version 3.2.7-1.

Vi anbefaler at du opgraderer dine otrs2-pakker.