blob: 541fa1c370a4f6eb1fe41ca2f589ab12f9afd941 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" mindelta="1"
<define-tag description>flera sårbarheter</define-tag>
<define-tag moreinfo>
<p>Flera sårbarheter har upptäckts i Request Tracker, ett
utökningsbart spårningssystem för supportärenden. Projektet Common
Vulnerabilities and Exposures identifierar följande problem:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-3368">CVE-2013-3368</a>
<p>Kommandoradsverktyget rt använder semi-förutsägbara temporära filer. En
illasinnad användare kan använda detta problem för att skriva över filer
med samma rättighter som användaren som kör rt-verktyget.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-3369">CVE-2013-3369</a>
<p>En illasinnad användare som är tillåten att se administrationssidor kan
köra opålitliga Mason-komponenter (utan kontroll av argumenten), vilket kan
ha negativa sidoeffekter.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-3370">CVE-2013-3370</a>
<p>Request Tracker tillåter direkta förfrågningar till privata
callback-komponenter, vilket kan användas för att exploatera en utökning
till Request Tracker eller en lokal callback som använder argumenten som
skickades till den osäkert.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-3371">CVE-2013-3371</a>
<p>Request Tracker är sårbart för cross-site skriptattacker via
bilagefilnamn.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-3372">CVE-2013-3372</a>
<p>Dominic Hargreaves upptäckte att Request Tracker är sårbart för
en HTTP-rubrikinjektion begränsad till värdet av
rubriken Content-Disposition.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-3373">CVE-2013-3373</a>
<p>Request Tracker är sårbart för en MIME-rubrikinjektion i utgående
post genererad av Request Tracker.</p>
<p>Problemen i Request Trackers stock-mallar är lösta av denna uppdatering.
Men alla anpassade email-mallar bör uppdateras för att säkerställa att värden
som läggs in i brevhuvuden inte innehåller nyrader.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-3374">CVE-2013-3374</a>
<p>Request Tracker är sårbart för begränsad sessionsåteranvändning vid
användning av fil-baserade sessionslagringen, Apache::Session::File. Dock så
är Request Tracker's standardinställda sessionskonfiguration inställd att
endast använda Apache::Session::File när den är konfigurerad för
Oracle-databaser.</p></li>
</ul>
<p>Denna version av Request Tracker inkluderar en uppgradering av
databas-innehållet. Om du använder en dbconfig-hanterad databas, så kommer du
att erbjudas att tillämpa detta automatiskt. Annars bör du se förklaringen i
/usr/share/doc/request-tracker3.8/NEWS.Debian.gz för de manuella stegen
du bör ta.</p>
<p>Vänligen notera att om du kör request-tracker3.8 under webservern Apache, så
måste du stoppa och starta Apache manuellt. <q>restart</q>-mekanismen
rekommenderas inte, speciellt när du använder mod_perl eller någon form av
beständiga Perl-processer som FastCGI eller SpeedyCGI.</p>
<p>För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i
version 3.8.8-7+squeeze7.</p>
<p>Den stabila utgåvan, uttestningsutgåvan och den instabila utgåvan innehåller
inte längre request-tracker3.8, som är ersatt av request-tracker4.</p>
<p>Vi rekommenderar att ni uppgraderar era request-tracker3.8-paket.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2013/dsa-2670.data"
|
