Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2867-1 otrs2

Bulletin d'alerte Debian

DSA-2867-1 otrs2 -- Plusieurs vulnérabilités

Date du rapport :

23 février 2014

Paquets concernés :

otrs2

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-1471, CVE-2014-1694.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans otrs2, le système libre de gestion de requêtes par tickets (Open Ticket Request System). Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2014-1694

  Norihiro Tanaka a signalé l'absence de vérification de jeton d'authentification par question/réponse. Un attaquant qui réussit à prendre le contrôle de la session d'un client connecté pourrait créer des tickets et/ou envoyer des suites à des tickets existants à cause de cette absence de vérification.

• CVE-2014-1471

  Karsten Nielsen de Vasgard GmbH a découvert qu'un attaquant avec un identifiant valide de client ou d'agent pourrait injecter du code SQL à travers l'URL de recherche de ticket.

Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 2.4.9+dfsg1-3+squeeze5.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 3.1.7+dfsg1-8+deb7u4.

Pour la distribution testing (Jessie) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.3.4-1.

Nous vous recommandons de mettre à jour vos paquets otrs2.