Säkerhetsbulletin från Debian

DSA-3335-1 request-tracker4 -- säkerhetsuppdatering

Rapporterat den:
2015-08-13
Berörda paket:
request-tracker4
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2015-5475, CVE-2015-6506.
Ytterligare information:

Man har upptäckt att Request Tracker, ett utökningsbart problemspårningssystem är sårbart för ett sajtöverskridande skriptangrepp via användar- och grupprättighetssystemsidorna (CVE-2015-5475) och via kryptografgränssnittet, vilket tillåter en angripare med en skapad nyckel att injicera JavaScript i RT's användargränssnitt. Installationer som varken använder GnuPG eller S/MIME påverkas inte av den andra sajtöverskridande skriptsårbarheten.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 4.0.7-5+deb7u4. Den gamla stabila utgåvan (Wheezy) påverkas endast av CVE-2015-5475.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 4.2.8-3+deb8u1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 4.2.11-2.

Vi rekommenderar att ni uppgraderar era request-tracker4-paket.