Debians sikkerhedsbulletin
DSA-3335-1 request-tracker4 -- sikkerhedsopdatering
- Rapporteret den:
- 13. aug 2015
- Berørte pakker:
- request-tracker4
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2015-5475, CVE-2015-6506.
- Yderligere oplysninger:
-
Man opdagede at Request Tracker, et udvidbart fejlsporingssystem, var sårbart over for et angreb i forbindelse med udførelse af skripter på tværs af websteder gennem siderne til håndtering af brugere og rettigheder (CVE-2015-5475) og gennem den kryptografiske grænseflade, hvilket gjorde det muligt for en angriber med en omhyggeligt fremstillet nøgle, at sprøjte JavaScript ind i RT's brugergrænseflade. Installationer, som hverken anvender GnuPG eller S/MIME, er ikke påvirket ved det anden sårbarhed i forbindelse med udførelse af skripter på tværs af websteder.
I den gamle stabile distribution (wheezy), er disse problemer rettet i version 4.0.7-5+deb7u4. Den gamle stabile distribution (wheezy) er kun påvirket af CVE-2015-5475.
I den stabile distribution (jessie), er disse problemer rettet i version 4.2.8-3+deb8u1.
I den ustabile distribution (sid), er disse problemer rettet i version 4.2.11-2.
Vi anbefaler at du opgraderer dine request-tracker4-pakker.