Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2670-1 request-tracker3.8

Bulletin d'alerte Debian

DSA-2670-1 request-tracker3.8 -- Plusieurs vulnérabilités

Date du rapport :

22 mai 2013

Paquets concernés :

request-tracker3.8

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2013-3368, CVE-2013-3369, CVE-2013-3370, CVE-2013-3371, CVE-2013-3372, CVE-2013-3373, CVE-2013-3374.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Request Tracker, un système paramétrable de suivi de problèmes. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2013-3368

  L’outil rt en ligne de commande utilise des fichiers temporaires partiellement prévisibles. Un utilisateur malveillant peut utiliser ce défaut pour écraser des fichiers avec les droits de l’utilisateur exécutant l’outil rt en ligne de commande.

• CVE-2013-3369

  Un utilisateur malveillant autorisé à voir les pages d’administration peut exécuter des composants Mason arbitraires (sans contrôle des arguments), ce qui pourrait produire des effets secondaires négatifs.

• CVE-2013-3370

  Request Tracker permet des requêtes directes aux composants de rappel privé, ce qui pourrait être utilisé pour exploiter une extension de Request Tracker ou un rappel local qui utilise les arguments qui lui sont passés de façon non sécurisée.

• CVE-2013-3371

  Request Tracker est vulnérable aux attaques par script intersite à l'aide de noms de fichiers attachés.

• CVE-2013-3372

  Dominic Hargreaves a découvert que Request Tracker est vulnérable à une injection d’en-tête HTTP limitée à la valeur de l’en-tête Content-Disposition.

• CVE-2013-3373

  Request Tracker est vulnérable à une injection d’en-tête MIME dans les courriers sortants créés par Request Tracker.

  Les modèles initiaux de Request Tracker sont corrigés par cette mise à jour. En revanche, tous les modèles de message personnalisé devraient être mis à jour pour s'assurer que les valeurs insérées dans les en-têtes de messages ne contiennent pas de changements de lignes.

• CVE-2013-3374

  Request Tracker est vulnérable à la réutilisation de session limitée lors de l'utilisation du stockage de session à base de fichier, Apache::Session::File. Cependant, la configuration de session par défaut de Request Tracker n’utilise Apache::Session::File qu’avec les bases de données Oracle.

Cette version de Request Tracker contient une mise à niveau de contenu de base de données. Si la base de données est gérée par dbconfig, la possibilité d'appliquer automatiquement cette mise à niveau sera proposée. Sinon, consultez les explications du fichier /usr/share/doc/request-tracker3.8/NEWS.Debian.gz pour connaître les étapes à réaliser vous-même.

Veuillez remarquer que, si vous exécutez request-tracker3.8 sous le serveur web Apache, vous devez arrêter et redémarrer Apache vous-même. Le mécanisme de redémarrage (restart) n’est pas recommandé, en particulier si vous utilisez mod_perl ou n’importe quelle forme de processus Perl persistant comme FastCGI ou SpeedyCGI.

Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 3.8.8-7+squeeze7.

Les distributions stable, testing et unstable ne contiennent plus request-tracker3.8, qui a été remplacé par request-tracker4.

Nous vous recommandons de mettre à jour vos paquets request-tracker3.8.