Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2670-1 request-tracker3.8

Debians sikkerhedsbulletin

DSA-2670-1 request-tracker3.8 -- flere sårbarheder

Rapporteret den:

22. maj 2013

Berørte pakker:

request-tracker3.8

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2013-3368, CVE-2013-3369, CVE-2013-3370, CVE-2013-3371, CVE-2013-3372, CVE-2013-3373, CVE-2013-3374.

Yderligere oplysninger:

Flere sårbarheder er opdaget i Request Tracker, et udvidbart fejlsporingssystem. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2013-3368

  Kommandolinjeværktøjet rt anvendte delvist forudsigelige midlertidige filer. En ondsindet bruger kunne udnytte fejlen til at overskrive filer med rettighederne hørende til brugeren, der benytter kommandolinjeværktøjet rt.

• CVE-2013-3369

  En ondsindet bruger, der har lov til at se administrative sider, kunne køre vilkårlige Mason-komponenter (uden kontrol af parametrene), hvilket måske kunne have negative bivirkninger.

• CVE-2013-3370

  Request Tracker tillod direkte forespørgsler til private callback-komponenter, hvilket kunne anvendes til at udnytte en Request Tracker-udvidelse eller en lokal callback, som anvender modtagne parametre på usikker vis.

• CVE-2013-3371

  Request Tracker var sårbar over for udførelse af skripter på tværs af websteder via vedhæftelsesfilnavne.

• CVE-2013-3372

  Dominic Hargreaves opdagede at Request Tracker var sårbar over for en HTTP-headerindsprøjtning, begrænset til værdien af headeren Content-Disposition.

• CVE-2013-3373

  Request Tracker var sårbar over for en MIME-headerindsprøjtning i udgående mails genereret af Request Tracker.

  Request Trackers medfølgende skabeloner rettes af denne opdatering, men eventuelt tilpassede mailskabeloner bør opdateres for at sikre, at værdier der havner i mailheadere ikke indeholder linjeskift.

• CVE-2013-3374

  Request Tracker er sårbar over for begrænset sessionsgenbrug, når man anvender filbaseret sessionsopbevaring, Apache::Session::File. Dog benytter Request Trackers standardsessionsopsætning kun Apache::Session::File, når den er opsat til Oracle-databaser.

Denne version af Request Tracker indeholder en opdatering af databaseindhold. Hvis man benytter en dbconfig-håndteret database, vil man få tilbudt muligheden for at iværksætte det automatisk. Ellers kan man læse forklaringen i /usr/share/doc/request-tracker3.8/NEWS.Debian.gz for de manuelle trin, der skal udføres.

Bemærk at hvis man kører request-tracker3.8 under webserveren Apache, skal man starte og stoppe Apache manuelt. restart-mekanismen anbefales ikke, særligt hvis man anvender mod_perl eller enhver form for persistente Perl-processer så som FastCGI eller SpeedyCGI.

I den gamle stabile distribution (squeeze), er disse problemer rettet i version 3.8.8-7+squeeze7.

Distributionerne stable, testing og unstable indeholder ikke længere request-tracker3.8, som er blevet erstattet af request-tracker4.

Vi anbefaler at du opgraderer dine request-tracker3.8-pakker.