Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2670-1 request-tracker3.8

Säkerhetsbulletin från Debian

DSA-2670-1 request-tracker3.8 -- flera sårbarheter

Rapporterat den:

2013-05-22

Berörda paket:

request-tracker3.8

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2013-3368, CVE-2013-3369, CVE-2013-3370, CVE-2013-3371, CVE-2013-3372, CVE-2013-3373, CVE-2013-3374.

Ytterligare information:

Flera sårbarheter har upptäckts i Request Tracker, ett utökningsbart spårningssystem för supportärenden. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2013-3368

  Kommandoradsverktyget rt använder semi-förutsägbara temporära filer. En illasinnad användare kan använda detta problem för att skriva över filer med samma rättighter som användaren som kör rt-verktyget.

• CVE-2013-3369

  En illasinnad användare som är tillåten att se administrationssidor kan köra opålitliga Mason-komponenter (utan kontroll av argumenten), vilket kan ha negativa sidoeffekter.

• CVE-2013-3370

  Request Tracker tillåter direkta förfrågningar till privata callback-komponenter, vilket kan användas för att exploatera en utökning till Request Tracker eller en lokal callback som använder argumenten som skickades till den osäkert.

• CVE-2013-3371

  Request Tracker är sårbart för cross-site skriptattacker via bilagefilnamn.

• CVE-2013-3372

  Dominic Hargreaves upptäckte att Request Tracker är sårbart för en HTTP-rubrikinjektion begränsad till värdet av rubriken Content-Disposition.

• CVE-2013-3373

  Request Tracker är sårbart för en MIME-rubrikinjektion i utgående post genererad av Request Tracker.

  Problemen i Request Trackers stock-mallar är lösta av denna uppdatering. Men alla anpassade email-mallar bör uppdateras för att säkerställa att värden som läggs in i brevhuvuden inte innehåller nyrader.

• CVE-2013-3374

  Request Tracker är sårbart för begränsad sessionsåteranvändning vid användning av fil-baserade sessionslagringen, Apache::Session::File. Dock så är Request Tracker's standardinställda sessionskonfiguration inställd att endast använda Apache::Session::File när den är konfigurerad för Oracle-databaser.

Denna version av Request Tracker inkluderar en uppgradering av databas-innehållet. Om du använder en dbconfig-hanterad databas, så kommer du att erbjudas att tillämpa detta automatiskt. Annars bör du se förklaringen i /usr/share/doc/request-tracker3.8/NEWS.Debian.gz för de manuella stegen du bör ta.

Vänligen notera att om du kör request-tracker3.8 under webservern Apache, så måste du stoppa och starta Apache manuellt. restart-mekanismen rekommenderas inte, speciellt när du använder mod_perl eller någon form av beständiga Perl-processer som FastCGI eller SpeedyCGI.

För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 3.8.8-7+squeeze7.

Den stabila utgåvan, uttestningsutgåvan och den instabila utgåvan innehåller inte längre request-tracker3.8, som är ersatt av request-tracker4.

Vi rekommenderar att ni uppgraderar era request-tracker3.8-paket.