• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3335-1 request-tracker4 -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3335-1 request-tracker4 -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Описание
Было обнаружено, что Request Tracker, расширяемая система отслеживания
билетов, может быть подвержена межсайтовому скриптингу через страницы
управления правами пользователей и групп (CVE-2015-5475), а также через
интерфейс шифрования, что позволяет злоумышленнику со специально сформированным
ключом ввести JavaScript в пользовательский интерфейс RT. Установки, не
использующие GnuPG или S/MIME, не подвержены второй
уязвимости.
В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены
в версии 4.0.7-5+deb7u4. Предыдущий стабильный выпуск (wheezy)
подвержен только CVE-2015-5475.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 4.2.8-3+deb8u1.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 4.2.11-2.
Рекомендуется обновить пакеты request-tracker4.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
request-tracker4 - 4.2.8-3+deb8u1
Debian GNU/Linux 7:
noarch:
request-tracker4 - 4.0.7-5+deb7u4
Ссылки
http://www.debian.org/security/dsa-3335/

Источник: CVE
Наименование: CVE-2015-5475
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5475