• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3882-1 request-tracker4 -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3882-1 request-tracker4 -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Описание
В Request Tracker, расширяемой системе отслеживания уведомлений о неисправностях,
были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities
and Exposures определяет следующие проблемы:

CVE-2016-6127
    Было обнаружено, что Request Tracker уязвим к межсайтовому
    скриптингу (XSS) в случае, если злоумышленник загружает вредоносный файл с
    содержимым определённого типа. Установки, использующие опцию
    настройки AlwaysDownloadAttachments, не подвержены этой уязвимости.
    Применённое исправление касается всех уже имеющихся и будущих загружаемых
    вложений.
CVE-2017-5361
    Было обнаружено, что Request Tracker уязвим к атакам на пароли пользователей
    через сторонние каналы по таймингам.
CVE-2017-5943
    Было обнаружено, что Request Tracker уязвим к раскрытию информации
    о токенах проверки в случае подделки межсайтового запроса (CSRF), если
    пользователь открывает специально сформированный URL, переданный
    злоумышленником.
CVE-2017-5944
    Было обнаружено, что Request Tracker уязвим к выполнению произвольного
    кода в интерфейсе подписки страницы управления. Привилегированный
    злоумышленник может использовать эту уязвимость с помощью
    специально сформированных сохранённых поисковых имён для вызова выполнения неожиданного
    кода. Применённое исправление касается всех уже имеющихся и будущих сохранённых
    поисковых имён.

Помимо указанных выше CVE данное исправление частично решает проблему
CVE-2015-7686
в Email::Address, которая может вызывать отказ в обслуживании
самого Request Tracker.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 4.2.8-3+deb8u2.
В готовящемся стабильном выпуске (stretch) эти проблемы были
исправлены в версии 4.4.1-3+deb9u1.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 4.4.1-4.
Рекомендуется обновить пакеты request-tracker4.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
request-tracker4 - 4.4.1-3+deb9u1
rt4-apache2 - 4.4.1-3+deb9u1
rt4-clients - 4.4.1-3+deb9u1
rt4-db-mysql - 4.4.1-3+deb9u1
rt4-db-postgresql - 4.4.1-3+deb9u1
rt4-db-sqlite - 4.4.1-3+deb9u1
rt4-doc-html - 4.4.1-3+deb9u1
rt4-fcgi - 4.4.1-3+deb9u1
rt4-standalone - 4.4.1-3+deb9u1
Debian GNU/Linux 8:
noarch:
request-tracker4 - 4.2.8-3+deb8u2
rt4-apache2 - 4.2.8-3+deb8u2
rt4-clients - 4.2.8-3+deb8u2
rt4-db-mysql - 4.2.8-3+deb8u2
rt4-db-postgresql - 4.2.8-3+deb8u2
rt4-db-sqlite - 4.2.8-3+deb8u2
rt4-doc-html - 4.2.8-3+deb8u2
rt4-fcgi - 4.2.8-3+deb8u2
rt4-standalone - 4.2.8-3+deb8u2
Ссылки
http://www.debian.org/security/dsa-3882/

Источник: CVE
Наименование: CVE-2017-5361
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5361

Источник: CVE
Наименование: CVE-2017-5943
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5943

Источник: CVE
Наименование: CVE-2017-5944
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5944

Источник: CVE
Наименование: CVE-2016-6127
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6127

DSA-3912-1 heimdal -- обновление безопасности Бюллетень безопасности ELSA-2014-0921