Informations de sécurité / 2017 / Informations sur la sécurité -- DSA-3882-1 request-tracker4

Bulletin d'alerte Debian

DSA-3882-1 request-tracker4 -- Mise à jour de sécurité

Date du rapport :

15 juin 2017

Paquets concernés :

request-tracker4

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-6127, CVE-2017-5361, CVE-2017-5943, CVE-2017-5944.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Request Tracker, un système paramétrable de suivi de problèmes. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2016-6127

  Request Tracker est vulnérable à une attaque par script intersite (XSS) si un attaquant charge un fichier malveillant avec un certain type de contenu. Les installations qui utilisent le paramètre de configuration AlwaysDownloadAttachments ne sont pas affectées par ce défaut. Le correctif appliqué traite toutes les pièces attachées existantes et à venir.

• CVE-2017-5361

  Request Tracker est vulnérable à des attaques temporelles par canal auxiliaire pour les mots de passe utilisateur.

• CVE-2017-5943

  Request Tracker est prédisposé à une fuite d'informations de jetons de vérification de contrefaçon de requête intersite (CSRF), si un utilisateur est piégé par un attaquant en visitant une URL contrefaite pour l'occasion.

• CVE-2017-5944

  Request Tracker est prédisposé à une vulnérabilité d'exécution de code à distance dans l'interface de souscription du tableau de bord. Un attaquant privilégié peut tirer avantage de ce défaut grâce à des noms de recherches sauvegardées soigneusement contrefaites pour provoquer l'exécution de code inattendu. Le correctif appliqué traite toutes les recherches sauvegardées existantes et à venir.

En plus de CVE mentionnées ci-dessus, cette mise à jour contourne le CVE-2015-7686 dans Email::Address qui pourrait induire un déni de service de Request Tracker lui-même.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4.2.8-3+deb8u2.

Pour la prochaine distribution stable (Stretch), ces problèmes ont été corrigés dans la version 4.4.1-3+deb9u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.4.1-4.

Nous vous recommandons de mettre à jour vos paquets request-tracker4.