• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-2733-1 otrs2 -- SQL-инъекция

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
otrs2 (any)
Описание
Было обнаружено, что otrs2, Open Ticket Request System, неправильно
очищает данные, введённые пользователем, которые используются в запросах SQL. Атакующий
с учётными данными агента может использовать эту проблему для создания запросов SQL,
вводя произвольный код SQL с помощью URL.
В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена в
версии 2.4.9+dfsg1-3+squeeze4. Также данное обновление содержит исправления для
CVE-2012-4751, CVE-2013-2625 и CVE-2013-4088, которые уже были исправлены в
стабильном выпуске.
В стабильном выпуске (wheezy) эта проблема была исправлена в
версии 3.1.7+dfsg1-8+deb7u3.
В тестируемом выпуске (jessie) эта проблема была исправлена в
версии 3.2.9-1.
В нестабильном выпуске (sid) эта проблема была исправлена в
версии 3.2.9-1.
Рекомендуется обновить пакеты otrs2.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
otrs2 - 2.4.9+dfsg1-3+squeeze4
Debian GNU/Linux 7:
noarch:
otrs2 - 3.1.7+dfsg1-8+deb7u3
Ссылки
http://www.debian.org/security/dsa-2733/

Источник: CVE
Наименование: CVE-2013-4717
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4717