Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3335-1 request-tracker4

Debians sikkerhedsbulletin

DSA-3335-1 request-tracker4 -- sikkerhedsopdatering

Rapporteret den:

13. aug 2015

Berørte pakker:

request-tracker4

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2015-5475, CVE-2015-6506.

Yderligere oplysninger:

Man opdagede at Request Tracker, et udvidbart fejlsporingssystem, var sårbart over for et angreb i forbindelse med udførelse af skripter på tværs af websteder gennem siderne til håndtering af brugere og rettigheder (CVE-2015-5475) og gennem den kryptografiske grænseflade, hvilket gjorde det muligt for en angriber med en omhyggeligt fremstillet nøgle, at sprøjte JavaScript ind i RT's brugergrænseflade. Installationer, som hverken anvender GnuPG eller S/MIME, er ikke påvirket ved det anden sårbarhed i forbindelse med udførelse af skripter på tværs af websteder.

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 4.0.7-5+deb7u4. Den gamle stabile distribution (wheezy) er kun påvirket af CVE-2015-5475.

I den stabile distribution (jessie), er disse problemer rettet i version 4.2.8-3+deb8u1.

I den ustabile distribution (sid), er disse problemer rettet i version 4.2.11-2.

Vi anbefaler at du opgraderer dine request-tracker4-pakker.