Säkerhetsbulletin från Debian

DSA-973-1 otrs -- flera sårbarheter

Rapporterat den:

2006-02-15

Berörda paket:

Sårbara:

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 340352.
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 15537.
I Mitres CVE-förteckning: CVE-2005-3893, CVE-2005-3894, CVE-2005-3895.

Ytterligare information:

Flera sårbarheter har upptäckts i otrs, Open Ticket Request System, vilka kunde utnyttjas utifrån. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

CVE-2005-3893
Flera SQL-injiceringssårbarheter gjorde det möjligt för angripare utifrån att exekvera godtyckliga SQL-kommandon och förbigå autenticering.
CVE-2005-3894
Flera serveröverskridande skriptsårbarheter gjorde det möjligt för autenticerade användare utifrån att injicera godtyckliga webbskript eller HTML-kod.
CVE-2005-3895
Internt bifogate text/html-brev visades som HTML när kömoderatorn försöka hämta bilagan, vilket gjorde det möjligt för angripare utifrån att exekvera godtyckliga webbskript eller HTML.

Den gamla stabila utgåvan (Woody) innehåller inte paketet OTRS.

För den stabila utgåvan (Sarge) har dessa problem rättats i version 1.3.2p01-6.

För den instabila utgåvan (Sid) har dessa problem rättats i version 2.0.4p01-1.

Vi rekommenderar att ni uppgraderar ert otrs-paket.

Rättat i:

Debian GNU/Linux 3.1 (sarge)

Källkod:: http://security.debian.org/pool/updates/main/o/otrs/otrs_1.3.2p01-6.dsc; http://security.debian.org/pool/updates/main/o/otrs/otrs_1.3.2p01-6.diff.gz; http://security.debian.org/pool/updates/main/o/otrs/otrs_1.3.2p01.orig.tar.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/o/otrs/otrs-doc-de_1.3.2p01-6_all.deb; http://security.debian.org/pool/updates/main/o/otrs/otrs-doc-en_1.3.2p01-6_all.deb; http://security.debian.org/pool/updates/main/o/otrs/otrs_1.3.2p01-6_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.