Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
request-tracker4
(any)
Описание
Было обнаружено, что Request Tracker, расширяемая система отслеживания
билетов, может быть подвержена межсайтовому скриптингу через страницы
управления правами пользователей и групп (CVE-2015-5475), а также через
интерфейс шифрования, что позволяет злоумышленнику со специально сформированным
ключом ввести JavaScript в пользовательский интерфейс RT. Установки, не
использующие GnuPG или S/MIME, не подвержены второй
уязвимости.
В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены
в версии 4.0.7-5+deb7u4. Предыдущий стабильный выпуск (wheezy)
подвержен только CVE-2015-5475.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 4.2.8-3+deb8u1.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 4.2.11-2.
Рекомендуется обновить пакеты request-tracker4.
билетов, может быть подвержена межсайтовому скриптингу через страницы
управления правами пользователей и групп (CVE-2015-5475), а также через
интерфейс шифрования, что позволяет злоумышленнику со специально сформированным
ключом ввести JavaScript в пользовательский интерфейс RT. Установки, не
использующие GnuPG или S/MIME, не подвержены второй
уязвимости.
В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены
в версии 4.0.7-5+deb7u4. Предыдущий стабильный выпуск (wheezy)
подвержен только CVE-2015-5475.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 4.2.8-3+deb8u1.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 4.2.11-2.
Рекомендуется обновить пакеты request-tracker4.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
request-tracker4 - 4.2.8-3+deb8u1
Debian GNU/Linux 7:
noarch:
request-tracker4 - 4.0.7-5+deb7u4
Debian GNU/Linux 8:
noarch:
request-tracker4 - 4.2.8-3+deb8u1
Debian GNU/Linux 7:
noarch:
request-tracker4 - 4.0.7-5+deb7u4
Ссылки
http://www.debian.org/security/dsa-3335/
Источник: CVE
Наименование: CVE-2015-5475
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5475
Источник: CVE
Наименование: CVE-2015-5475
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5475