Информация по безопасности / 2015 / Информация о безопасности -- DSA-3335-1 request-tracker4

Рекомендация Debian по безопасности

DSA-3335-1 request-tracker4 -- обновление безопасности

Дата сообщения:

13.08.2015

Затронутые пакеты:

request-tracker4

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2015-5475, CVE-2015-6506.

Более подробная информация:

Было обнаружено, что Request Tracker, расширяемая система отслеживания билетов, может быть подвержена межсайтовому скриптингу через страницы управления правами пользователей и групп (CVE-2015-5475), а также через интерфейс шифрования, что позволяет злоумышленнику со специально сформированным ключом ввести JavaScript в пользовательский интерфейс RT. Установки, не использующие GnuPG или S/MIME, не подвержены второй уязвимости.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 4.0.7-5+deb7u4. Предыдущий стабильный выпуск (wheezy) подвержен только CVE-2015-5475.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 4.2.8-3+deb8u1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 4.2.11-2.

Рекомендуется обновить пакеты request-tracker4.