Информация по безопасности / 2014 / Информация о безопасности -- DSA-2867-1 otrs2

Рекомендация Debian по безопасности

DSA-2867-1 otrs2 -- несколько уязвимостей

Дата сообщения:

23.02.2014

Затронутые пакеты:

otrs2

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2014-1471, CVE-2014-1694.

Более подробная информация:

В otrs2, открытой системе обработки заявок, были обнаружены несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2014-1694

  Норихиро Танака сообщил об отсутствии проверки токенов вызова. Из-за отсутствия таких проверок атакующий, имеющий возможность захватить сессию покупателя, совершившего вход, может создавать заявки и/или отправлять дополнения к существующим заявкам.

• CVE-2014-1471

  Карстен Нилсен из Vasgard GmbH обнаружил, что атакующий с корректным логином покупателя или агента может осуществить ввод SQL-кода через URL поиска заявок.

В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в версии 2.4.9+dfsg1-3+squeeze5.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 3.1.7+dfsg1-8+deb7u4.

В тестируемом (jessie) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 3.3.4-1.

Рекомендуется обновить пакеты otrs2.