Debians sikkerhedsbulletin
DSA-2867-1 otrs2 -- flere sårbarheder
- Rapporteret den:
- 23. feb 2014
- Berørte pakker:
- otrs2
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2014-1471, CVE-2014-1694.
- Yderligere oplysninger:
-
Flere sårbarheder blev opdaget i otrs2, Open Ticket Request System. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2014-1694
Norihiro Tanaka rapporteredeom manglende challenge token-kontroller. En angriber, som det er lykkedes at ovvertag en indlogget kundes session, kunne oprette tickets og/eller sende opfølgende beskeder til eksisterende tickets på grund af de manglende kontroller.
- CVE-2014-1471
Karsten Nielsen fra Vasgard GmbH opdagede at en angriber med en gyldig kunde- eller agentlogin, kunne indsprøjte SQL-kode gennem ticketsøgnings-URL'en.
I den gamle stabile distribution (squeeze), er disse problemer rettet i version 2.4.9+dfsg1-3+squeeze5.
I den stabile distribution (wheezy), er disse problemer rettet i version 3.1.7+dfsg1-8+deb7u4.
I distributionen testing (jessie) og i den ustabile distribution (sid), er disse problemer rettet i version 3.3.4-1.
Vi anbefaler at du opgraderer dine otrs2-pakker.
- CVE-2014-1694