セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2480-4 request-tracker3.8

Debian セキュリティ勧告

DSA-2480-4 request-tracker3.8 -- 複数の脆弱性

報告日時:

2012-09-15

影響を受けるパッケージ:

request-tracker3.8

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 674924, バグ 675369.
Mitre の CVE 辞書: CVE-2011-2082, CVE-2011-2083, CVE-2011-2084, CVE-2011-2085, CVE-2011-4458, CVE-2011-4459, CVE-2011-4460.

詳細:

複数の欠陥が、問題トラッキングシステム Request Tracker に発見されました。

• CVE-2011-2082

  CVE-2011-0009 の修正で提供された、欠陥のあるパスワードの修正スクリプトが、 無効されているユーザのパスワードの修正を行っていませんでした。

• CVE-2011-2083

  複数のクロスサイトスクリプティング攻撃を許す欠陥が発見されました。

• CVE-2011-2084

  パスワードハッシュが特権ユーザから読み取り可能です。

• CVE-2011-2085

  複数のクロスサイトリクエストフォージェリを許す欠陥が発見されました。 この修正の副作用でサイトの動作に問題が出る場合は、 $RestrictReferrer を 0 とすることで従来の挙動に戻すことができます。

• CVE-2011-4458

  変数エンベロープ戻りパスをサポートしたコードに欠陥があり、 任意のコードの実行を許します。

• CVE-2011-4459

  無効化されたグループに対して、適切な無効化処理が行われていませんでした。

• CVE-2011-4460

  特権ユーザからのみ攻撃可能な SQL インジェクション脆弱性があります。

request-tracker3.8 を Apache ウェブサーバで実行している場合は、手動で Apache を再起動する必要があることに留意ください。特に mod_perl を用いている場合は、restart 機能の利用は推奨できません。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 3.8.8-7+squeeze5 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 4.0.5-3 で修正されています。

直ぐに request-tracker3.8 パッケージをアップグレードすることを勧めます。