Информация по безопасности / 2015 / Информация о безопасности -- DSA-3176-1 request-tracker4

Рекомендация Debian по безопасности

DSA-3176-1 request-tracker4 -- обновление безопасности

Дата сообщения:

26.02.2015

Затронутые пакеты:

request-tracker4

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2014-9472, CVE-2015-1165, CVE-2015-1464.

Более подробная информация:

В Request Tracker, расширяемой системе отслеживания билетов, были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2014-9472

  Кристиан Лус обнаружил возможность удалённого вызова отказа в обслуживании, которая может использоваться через шлюз электронной почты и касается любой установки, принимающей почту из недоверенных источников. В зависимости от настройки журналирования в RT, удалённый злоумышленник может использовать данную уязвимость для вызова чрезмерного потребления ресурсов процессора и дискового пространства.

• CVE-2015-1165

  Кристиан Лус обнаружил раскрытие информации, которое может привести к получению URL ленты RSS и, таким образом, данных билета.

• CVE-2015-1464

  Было обнаружено, что URL лент RSS могут использоваться для захвата сессии, позволяя пользователю, имеющему URL, входить в систему от лица пользователя, создавшего данную ленту.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 4.0.7-5+deb7u3.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 4.2.8-3.

Рекомендуется обновить пакеты request-tracker4.