Информация по безопасности / 2017 / Информация о безопасности -- DSA-4069-1 otrs2

Рекомендация Debian по безопасности

DSA-4069-1 otrs2 -- обновление безопасности

Дата сообщения:

20.12.2017

Затронутые пакеты:

otrs2

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 884801.
В каталоге Mitre CVE: CVE-2017-17476.

Более подробная информация:

Франческо Сироко обнаружил уязвимость в otrs2, Open Ticket Request System, которая может приводить к раскрытию информации о сессии в случае отключения поддержки куки. Удалённый злоумышленник может использовать эту уязвимость для захвата сессии агента в том случае, если агент откроет ссылку из специально сформированного почтового сообщения.

В предыдущем стабильном выпуске (jessie) эта проблема была исправлена в версии 3.3.18-1+deb8u4.

В стабильном выпуске (stretch) эта проблема была исправлена в версии 5.0.16-1+deb9u5.

Рекомендуется обновить пакеты otrs2.

С подробным статусом поддержки безопасности otrs2 можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/otrs2