Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3124-1 otrs2

Bulletin d'alerte Debian

DSA-3124-1 otrs2 -- Mise à jour de sécurité

Date du rapport :

10 janvier 2015

Paquets concernés :

otrs2

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-9324.

Plus de précisions :

Thorsten Eckel de Znuny GMBH et Remo Staeuble de InfoGuard ont découvert une vulnérabilité d'augmentation de droits dans otrs2, le système libre de gestion de requêtes par tickets (Open Ticket Request System). Un attaquant avec une identité OTRS valide pourrait accéder aux données d'autres utilisateurs et les manipuler par l'intermédiaire de GenericInterface, si un service web de tickets est configuré sans être en plus sécurisé.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 3.1.7+dfsg1-8+deb7u5.

Pour la prochaine distribution stable (Jessie), ce problème a été corrigé dans la version 3.3.9-3.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.3.9-3.

Nous vous recommandons de mettre à jour vos paquets otrs2.