Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3335-1 request-tracker4

Bulletin d'alerte Debian

DSA-3335-1 request-tracker4 -- Mise à jour de sécurité

Date du rapport :

13 août 2015

Paquets concernés :

request-tracker4

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-5475, CVE-2015-6506.

Plus de précisions :

Request Tracker, un système paramétrable de suivi de problèmes, est vulnérable à une attaque de script intersite à l'aide des pages de gestion des droits d'utilisateur et de groupe (CVE-2015-5475) et à l'aide de l'interface de chiffrement, permettant à un attaquant avec une clé soigneusement contrefaite d'injecter du code JavaScript dans l'interface utilisateur de RT. Les installations qui n'utilisent ni GnuPG ni S/MIME ne sont pas affectées par la seconde vulnérabilité de script intersite.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 4.0.7-5+deb7u4. La distribution oldstable (Wheezy) est seulement affectée par le CVE-2015-5475.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4.2.8-3+deb8u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.2.11-2.

Nous vous recommandons de mettre à jour vos paquets request-tracker4.