Рекомендация Debian по безопасности

DSA-3335-1 request-tracker4 -- обновление безопасности

Дата сообщения:
13.08.2015
Затронутые пакеты:
request-tracker4
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-5475, CVE-2015-6506.
Более подробная информация:

Было обнаружено, что Request Tracker, расширяемая система отслеживания билетов, может быть подвержена межсайтовому скриптингу через страницы управления правами пользователей и групп (CVE-2015-5475), а также через интерфейс шифрования, что позволяет злоумышленнику со специально сформированным ключом ввести JavaScript в пользовательский интерфейс RT. Установки, не использующие GnuPG или S/MIME, не подвержены второй уязвимости.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 4.0.7-5+deb7u4. Предыдущий стабильный выпуск (wheezy) подвержен только CVE-2015-5475.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 4.2.8-3+deb8u1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 4.2.11-2.

Рекомендуется обновить пакеты request-tracker4.