Sikkerhedsoplysninger / 2017 / Sikkerhedsoplysninger -- DSA-4069-1 otrs2

Debians sikkerhedsbulletin

DSA-4069-1 otrs2 -- sikkerhedsopdatering

Rapporteret den:

20. dec 2017

Berørte pakker:

otrs2

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 884801.
I Mitres CVE-ordbog: CVE-2017-17476.

Yderligere oplysninger:

Francesco Sirocco opdagede en fejl i otrs2, Open Ticket Request System, hvilken kunne medføre afsløring af sessionoplysninger, når cookie-understøttelse er deaktiveret. En fjernangriber kunne drage nytte af fejlen til at overtage en agents session, hvis agenten blev narret til at klikke på et link i en særligt fremstillet mail.

I den gamle stabile distribution (jessie), er dette problem rettet i version 3.3.18-1+deb8u4.

I den stabile distribution (stretch), er dette problem rettet i version 5.0.16-1+deb9u5.

Vi anbefaler at du opgraderer dine otrs2-pakker.

For detaljeret sikkerhedsstatus vedrørende otrs2, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/otrs2