Информация по безопасности / 2013 / Информация о безопасности -- DSA-2670-1 request-tracker3.8

Рекомендация Debian по безопасности

DSA-2670-1 request-tracker3.8 -- несколько уязвимостей

Дата сообщения:

22.05.2013

Затронутые пакеты:

request-tracker3.8

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2013-3368, CVE-2013-3369, CVE-2013-3370, CVE-2013-3371, CVE-2013-3372, CVE-2013-3373, CVE-2013-3374.

Более подробная информация:

В Request Tracker, расширяемой системе отслеживания сообщений об ошибках, были обнаружены несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2013-3368

  Инструмент командной строки rt использует полупредсказуемые временные файлы. Пользователь может использовать эту утечку для перезаписи файлов с правами пользователя, запустившего команду rt.

• CVE-2013-3369

  Пользователь, имеющий право просматривать страницы администрирования, может запустить произвольные компоненты Mason (без изменения аргументов), которые могут иметь негативные последствия.

• CVE-2013-3370

  Request Tracker позволяет направлять запросы компонентам с частным обратным вызовом, которые могут использовать для недобросовестного использования расширения Request Tracker или локального обратного вызова, использующего переданные ему небезопасные аргументы.

• CVE-2013-3371

  Request Tracker уязвим к атакам межсайтового скриптинга через имена прилагаемых файлов.

• CVE-2013-3372

  Доминик Харгривс обнаружил, что Request Tracker уязвим к инъекции заголовка HTTP, ограниченной значением заголовка Content-Disposition.

• CVE-2013-3373

  Request Tracker уязвим к инъекции заголовка MIME в исходящей почте, созданной Request Tracker.

  Встроенные шаблоны Request Tracker исправлены в данном обновлении. Тем не менее, любые индивидуальные шаблоны электронной почты следует обновить, чтобы вставляемые в заголовки сообщений значения не содержали символов новой строки.

• CVE-2013-3374

  Request Tracker уязвим к ограниченному повторному использованию сессии при использовании хранилища сессий на основе файлов, Apache::Session::File. Тем не менее, настройка Request Tracker по умолчанию использует Apache::Session::File только в том случае, если используются базы данных Oracle.

Данная версия Request Tracker включает в себя обновление содержимого базы данных. Если вы используете базу данных, управляемую dbconfig, вам будет предложено на выбор автоматически применить данное обновление. В противном случае, см. объяснение в /usr/share/doc/request-tracker3.8/NEWS.Debian.gz, в котором обновление объяснено пошагово.

Заметьте, что если вы запустили request-tracker4 под веб-сервером Apache, вам следует вручную остановить и запустить Apache. Использование механизма restart не рекомендуется, особенно в том случае, если используется mod_perl или любая другая разновидность постоянного процесса Perl, такая как FastCGI или SpeedyCGI.

В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в версии 3.8.8-7+squeeze7.

В стабильном, тестируемом и нестабильном выпусках пакет request-tracker3.8 более не содержится, он был заменён пакетом request-tracker4.

Рекомендуется обновить пакеты request-tracker3.8.