Sikkerhedsoplysninger / 2017 / Sikkerhedsoplysninger -- DSA-3882-1 request-tracker4

Debians sikkerhedsbulletin

DSA-3882-1 request-tracker4 -- sikkerhedsopdatering

Rapporteret den:

15. jun 2017

Berørte pakker:

request-tracker4

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2016-6127, CVE-2017-5361, CVE-2017-5943, CVE-2017-5944.

Yderligere oplysninger:

Adskillige sårbarheder er opdaget i Request Tracker, et omfattende system til sporing af fejlsager. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2016-6127

  Man opdagede at Request Tracker var sårbar over for et angreb i forbindelse med udførelse af skripter på tværs af websteder (XSS), hvis en angriber uploadede en ondsindet fil med en bestemt contenttype. Installationer hvor opsætningsindstillingen AlwaysDownloadAttachments anvendes, er ikke påvirket af fejlen. Den benyttede rettelse løser fejlen for alle eksisterende og fremtidige vedhæftelsesuploads.

• CVE-2017-5361

  Man opdagede at Request Tracker var sårbar over for timingsidekanalangreb ved brugeres adgangskoder.

• CVE-2017-5943

  Man opdagede at Request Tracker var ramt af en informationslækage i forbindelse med forfalskning af forespørgsler på tværs af websteder (CSRF) med verifikationstokens, hvis en bruger blev narret af en angriber til at besøge en særligt fremstillet URL.

• CVE-2017-5944

  Man opdagede at Request Tracker var ramt af en sårbarhed i forbindelse med fjernudførelse af kode i grænsefladen til dashboardabonnement. En priviligeret angriber kunne drage nytte af fejlen gennem omhyggeligt fremstillede gemt søgning-navne, til at forårsage at uventet kode blev udført. Den benyttede rettelser løser fejlen for alle eksisterende og fremtidige gemte søgninger.

Ud over de ovennævnte CVE'er, omgår denne opdatering CVE-2015-7686 i Email::Address, hvilket fremkalde et lammelsesangreb i Request Tracker selv.

I den stabile distribution (jessie), er disse problemer rettet i version 4.2.8-3+deb8u2.

I den kommende stabile distribution (stretch), er disse problemer rettet i version 4.4.1-3+deb9u1.

I den ustabile distribution (sid), er disse problemer rettet i version 4.4.1-4.

Vi anbefaler at du opgraderer dine request-tracker4-pakker.