Información sobre seguridad / 2017 / Información sobre seguridad -- DSA-4069-1 otrs2

Aviso de seguridad de Debian

DSA-4069-1 otrs2 -- actualización de seguridad

Fecha del informe:

20 de dic de 2017

Paquetes afectados:

otrs2

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: error 884801.
En el diccionario CVE de Mitre: CVE-2017-17476.

Información adicional:

Francesco Sirocco descubrió un defecto en otrs2, el sistema abierto de solicitud de tickets («Open Ticket Request System»), que podía dar lugar a revelación de información de sesión cuando está inhabilitado el soporte de cookies. Un atacante remoto puede aprovechar este defecto para tomar control de la sesión de un agente al que se haya inducido a pulsar en un enlace presente en un correo electrónico manipulado de una forma determinada.

Para la distribución «antigua estable» (jessie), este problema se ha corregido en la versión 3.3.18-1+deb8u4.

Para la distribución «estable» (stretch), este problema se ha corregido en la versión 5.0.16-1+deb9u5.

Le recomendamos que actualice los paquetes de otrs2.

Para información detallada sobre el estado de seguridad de otrs2 consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/otrs2