Рекомендация Debian по безопасности
DSA-3335-1 request-tracker4 -- обновление безопасности
- Дата сообщения:
- 13.08.2015
- Затронутые пакеты:
- request-tracker4
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2015-5475, CVE-2015-6506.
- Более подробная информация:
-
Было обнаружено, что Request Tracker, расширяемая система отслеживания билетов, может быть подвержена межсайтовому скриптингу через страницы управления правами пользователей и групп (CVE-2015-5475), а также через интерфейс шифрования, что позволяет злоумышленнику со специально сформированным ключом ввести JavaScript в пользовательский интерфейс RT. Установки, не использующие GnuPG или S/MIME, не подвержены второй уязвимости.
В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 4.0.7-5+deb7u4. Предыдущий стабильный выпуск (wheezy) подвержен только CVE-2015-5475.
В стабильном выпуске (jessie) эти проблемы были исправлены в версии 4.2.8-3+deb8u1.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 4.2.11-2.
Рекомендуется обновить пакеты request-tracker4.