Säkerhetsbulletin från Debian
DSA-3335-1 request-tracker4 -- säkerhetsuppdatering
- Rapporterat den:
- 2015-08-13
- Berörda paket:
- request-tracker4
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2015-5475, CVE-2015-6506.
- Ytterligare information:
-
Man har upptäckt att Request Tracker, ett utökningsbart problemspårningssystem är sårbart för ett sajtöverskridande skriptangrepp via användar- och grupprättighetssystemsidorna (CVE-2015-5475) och via kryptografgränssnittet, vilket tillåter en angripare med en skapad nyckel att injicera JavaScript i RT's användargränssnitt. Installationer som varken använder GnuPG eller S/MIME påverkas inte av den andra sajtöverskridande skriptsårbarheten.
För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 4.0.7-5+deb7u4. Den gamla stabila utgåvan (Wheezy) påverkas endast av CVE-2015-5475.
För den stabila utgåvan (Jessie) har dessa problem rättats i version 4.2.8-3+deb8u1.
För den instabila utgåvan (Sid) har dessa problem rättats i version 4.2.11-2.
Vi rekommenderar att ni uppgraderar era request-tracker4-paket.