Säkerhetsbulletin från Debian

DSA-3882-1 request-tracker4 -- säkerhetsuppdatering

Rapporterat den:
2017-06-15
Berörda paket:
request-tracker4
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2016-6127, CVE-2017-5361, CVE-2017-5943, CVE-2017-5944.
Ytterligare information:

Flera sårbarheter har upptäckts i Request Tracker, ett utökningsbart spårningssystem för supportärenden. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2016-6127

    Man har upptäckt att Request Tracker är sårbar för ett sajtöverskridande skriptangrepp (XSS) om en angripare laddar upp en illasinnad fil med en speciell innehållstyp. Installationer som använder konfigurationsinställningen AlwaysDownloadAttachments påverkas inte av denna brist. Den applicerade rättningen adresserar alla existerande och framtida uppladdade bilagor.

  • CVE-2017-5361

    Man har upptäckt att Request Tracker är sårbar för timing sidokanalsangrepp för användarlösenord.

  • CVE-2017-5943

    Man har upptäckt att Request Tracker är sårbar för ett informationsläckage av serveröverskridande anropsförfalskning (CSRF) av verifieringskännetecken om en användare luras till att besöka en speciellt skapad URL av en angripare.

  • CVE-2017-5944

    Man har upptäckt att Request Tracker är sårbar för en fjärrkodskörningssårbarhet i prenumerationsgränssnittet i instrumentpanelen. En angripare med rättigheter kan dra fördel av denna brist genom försiktigt skapade sparade söknamn för att orsaka att oförväntad kod exekveras. Den applicerade rättningen adressera alla existerande och framtida sparade sökningar.

Utöver de ovan nämnda CVEerna löser denna uppdatering CVE-2015-7686 i Email::Address vilket kunde medföra en överbelastning i själva Request Tracker.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 4.2.8-3+deb8u2.

För den kommande stabila utgåvan (Stretch) har dessa problem rättats i version 4.4.1-3+deb9u1.

För den instabila distributionen (Sid) har dessa problem rättats i version 4.4.1-4.

Vi rekommenderar att ni uppgraderar era request-tracker4-paket.