Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3176-1 request-tracker4

Debians sikkerhedsbulletin

DSA-3176-1 request-tracker4 -- sikkerhedsopdatering

Rapporteret den:

26. feb 2015

Berørte pakker:

request-tracker4

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2014-9472, CVE-2015-1165, CVE-2015-1464.

Yderligere oplysninger:

Adskillige sårbarheder er opdaget i Request Tracker, et udvideligt system til registrering af fejl og problemer. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2014-9472

  Christian Loos opdagede et fjernudnytbar lammelsesangreb (denial of service), udbytbart via mailgatewayen, som påvirkede enhver installation, der accepterer mail fra kilder, der ikke er tillid til. Afhængight af RT's logningsopsætning, kunne en fjernangriber drage nytte af fejlen til at forårsage overdrevet brug af CPU og disk.

• CVE-2015-1165

  Christian Loos opdagede en inforamtionsafsløringsfejl, som kunne blotlægge RSS-feed-URL'er, og dermed ticketdata.

• CVE-2015-1464

  Man opdagede at RSS-feed-URL'er kunne udnytes til at udføre sessionskapring, hvilket gjorde det muligt for en bruger med URL'en, at logge på som brugeren, der oprettede feed'et.

I den stabile distribution (wheezy), er disse problemer rettet i version 4.0.7-5+deb7u3.

I den ustabile distribution (sid), er disse problemer rettet i version 4.2.8-3.

Vi anbefaler at du opgraderer dine request-tracker4-pakker.