Debians sikkerhedsbulletin
DSA-3124-1 otrs2 -- sikkerhedsopdatering
- Rapporteret den:
- 10. jan 2015
- Berørte pakker:
- otrs2
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2014-9324.
- Yderligere oplysninger:
-
Thorsten Eckel fra Znuny GMBH og Remo Staeuble fra InfoGuard opdagede en rettighedsforøgelsessårbarhed i otrs2, Open Ticket Request System. En angriber med gyldige OTRS-loginoplysninger kunne tilgå og ændre ticketdata hørende til andre brugere via GenericInterface, hvis en ticketwebservice var opsat og ikke yderligere sikret.
I den stabile distribution (wheezy), er dette problem rettet i version 3.1.7+dfsg1-8+deb7u5.
I den kommende stabile distribution (jessie), er dette problem rettet i version 3.3.9-3.
I den ustabile distribution (sid), er dette problem rettet i version 3.3.9-3.
Vi anbefaler at du opgraderer dine otrs2-pakker.