Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3176-1 request-tracker4

Bulletin d'alerte Debian

DSA-3176-1 request-tracker4 -- Mise à jour de sécurité

Date du rapport :

26 février 2015

Paquets concernés :

request-tracker4

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-9472, CVE-2015-1165, CVE-2015-1464.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Request Tracker, un système paramétrable de suivi de problèmes. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2014-9472

  Christian Loos a découvert une vulnérabilité de déni de service distant, exploitable par la passerelle courriel et affectant toute installation qui accepte des courriers de sources non fiables. En fonction de la configuration de connexion de Request Tracker, un attaquant distant peut prendre avantage de ce défaut pour provoquer une utilisation excessive du processeur et du disque.

• CVE-2015-1165

  Christian Loos a découvert un défaut de divulgation d'informations qui peut dévoiler les URL des flux RSS et donc des données de tickets.

• CVE-2015-1464

  Les URL des flux RSS peuvent servir à réaliser un détournement de session, permettant à un utilisateur ayant l'URL de se connecter sous l'identité de l'utilisateur qui a créé le flux.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 4.0.7-5+deb7u3.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.2.8-3.

Nous vous recommandons de mettre à jour vos paquets request-tracker4.