Säkerhetsbulletin från Debian

DSA-2867-1 otrs2 -- flera sårbarheter

Rapporterat den:
2014-02-23
Berörda paket:
otrs2
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2014-1471, CVE-2014-1694.
Ytterligare information:

Flera sårbarheter har upptäckts i otrs2, Open Ticket Request System. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2014-1694

    Norihiro Tanaka rapporterade sakande kontroller för challenge tolken. En angripare som hade möjlighet att ta över sessionen för en inloggad kund kunde skapa poster och/eller skicka uppföljningar på existerande poster tack vare dessa bristande kontroller.

  • CVE-2014-1471

    Karsten Nielsen från Vasgard GmbH upptäckte att en angripare med en giltig kund- eller agentlogin kunde injicera SQL-kod genom postsök-URLen.

För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 2.4.9+dfsg1-3+squeeze5.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 3.1.7+dfsg1-8+deb7u4.

För uttestningsutgåvan (Jessie) och den instabila utgåvan (Sid) har dessa problem rättats i version 3.3.4-1.

Vi rekommenderar att ni uppgraderar era otrs2-paket.