Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2733-1 otrs2

Debians sikkerhedsbulletin

DSA-2733-1 otrs2 -- SQL-indsprøjtning

Rapporteret den:

2. aug 2013

Berørte pakker:

otrs2

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2013-4717.

Yderligere oplysninger:

Man opdagede at otrs2, Open Ticket Request System, ikke på korrekt vis fornuftighedskontrollerede brugerleverede inddata, som anvendes i SQL-forespørgsler. En angriber med en gyldig login til systemet, kunne udnytte problemet til at fabrikere SQL-forespørgsler, ved at indsprøjte vilkårlig SQL-kode gennem manipulerede URL'er.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 2.4.9+dfsg1-3+squeeze4. Opdateringen indeholder også rettelser af CVE-2012-4751, CVE-2013-2625 og CVE-2013-4088, som alle allerede er rettet i den stabile udgave.

I den stabile distribution (wheezy), er dette problem rettet i version 3.1.7+dfsg1-8+deb7u3.

I distributionen testing (jessie), er dette problem rettet i version 3.2.9-1.

I den ustabile distribution (sid), er dette problem rettet i version 3.2.9-1.

Vi anbefaler at du opgraderer dine otrs2-pakker.