Säkerhetsbulletin från Debian
DSA-3124-1 otrs2 -- säkerhetsuppdatering
- Rapporterat den:
- 2015-01-10
- Berörda paket:
- otrs2
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2014-9324.
- Ytterligare information:
-
Thorsten Eckel från Znuny GMBH och Remo Staeuble från InfoGuard upptäckte en sårbarhet som orsakar utökning av privilegier i otrs2, Open Tick Request System. En angripare med giltiga OTRS-referenser kunde få åtkomst till och manipulera andra användares kvittodata genom GenericInterface, om en webbtjänst för kvitton är konfigurerad och inte ytterligare säkrad.
För den stabila utgåvan (Wheezy) har detta problem rättats i version 3.1.7+dfsg1-8+deb7u5.
För den kommande stabila utgåvan (Jessie) har detta problem rättats i version 3.3.9-3.
För den instabila utgåvan (Sid) har detta problem rättats i version 3.3.9-3.
Vi rekommenderar att ni uppgraderar era otrs2-paket.