Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3335-1 request-tracker4

Säkerhetsbulletin från Debian

DSA-3335-1 request-tracker4 -- säkerhetsuppdatering

Rapporterat den:

2015-08-13

Berörda paket:

request-tracker4

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2015-5475, CVE-2015-6506.

Ytterligare information:

Man har upptäckt att Request Tracker, ett utökningsbart problemspårningssystem är sårbart för ett sajtöverskridande skriptangrepp via användar- och grupprättighetssystemsidorna (CVE-2015-5475) och via kryptografgränssnittet, vilket tillåter en angripare med en skapad nyckel att injicera JavaScript i RT's användargränssnitt. Installationer som varken använder GnuPG eller S/MIME påverkas inte av den andra sajtöverskridande skriptsårbarheten.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 4.0.7-5+deb7u4. Den gamla stabila utgåvan (Wheezy) påverkas endast av CVE-2015-5475.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 4.2.8-3+deb8u1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 4.2.11-2.

Vi rekommenderar att ni uppgraderar era request-tracker4-paket.