Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3176-1 request-tracker4

Säkerhetsbulletin från Debian

DSA-3176-1 request-tracker4 -- säkerhetsuppdatering

Rapporterat den:

2015-02-26

Berörda paket:

request-tracker4

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2014-9472, CVE-2015-1165, CVE-2015-1464.

Ytterligare information:

Flera sårbarheter har upptäckts i Request Tracker, ett utökningsbart spårsökningsprogram. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2014-9472

  Christian Loos upptäckte en fjärröverbelastningssårbarhet, exploaterbar via e-postgatewayen som påverkar alla installationer som accepterar e-post från opålitliga källor. Beroende på RT's loggkonfiguration kan en fjärrangripare dra fördel av denna brist för att orsaka CPU-användning och överdriven diskanvändning.

• CVE-2015-1165

  Christian Loos upptäckte ett utlämnande av informationsbrist som kan avslöja RSS-flödes-URLer, och därmed ticket-data.

• CVE-2015-1464

  Man har upptäckt att RSS-flödes-URLer kan utnyttjas för att utföra sessionskapning, vilket tillåter en användare med URLen att logga in som användaren som skapade flödet.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 4.0.7-5+deb7u3.

För den instabila utgåvan (Sid) har dessa problem rättats i version 4.2.8-3.

Vi rekommenderar att ni uppgraderar era request-tracker4-paket.