Säkerhetsbulletin från Debian
DSA-2867-1 otrs2 -- flera sårbarheter
- Rapporterat den:
- 2014-02-23
- Berörda paket:
- otrs2
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2014-1471, CVE-2014-1694.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i otrs2, Open Ticket Request System. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2014-1694
Norihiro Tanaka rapporterade sakande kontroller för challenge tolken. En angripare som hade möjlighet att ta över sessionen för en inloggad kund kunde skapa poster och/eller skicka uppföljningar på existerande poster tack vare dessa bristande kontroller.
- CVE-2014-1471
Karsten Nielsen från Vasgard GmbH upptäckte att en angripare med en giltig kund- eller agentlogin kunde injicera SQL-kod genom postsök-URLen.
För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 2.4.9+dfsg1-3+squeeze5.
För den stabila utgåvan (Wheezy) har dessa problem rättats i version 3.1.7+dfsg1-8+deb7u4.
För uttestningsutgåvan (Jessie) och den instabila utgåvan (Sid) har dessa problem rättats i version 3.3.4-1.
Vi rekommenderar att ni uppgraderar era otrs2-paket.
- CVE-2014-1694