blob: ec66276f099a1beed5e46c6991d24920ce51d639 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
|
#use wml::debian::translation-check translation="9864ee7137baa1842a53340d47151db5ad782ac7" mindelta="1"
<define-tag description>säkerhetsuppdatering</define-tag>
<define-tag moreinfo>
<p>Flera sårbarheter har upptäckts i Request Tracker, ett
utökningsbart spårningssystem för supportärenden. Projektet Common Vulnerabilities
and Exposures identifierar följande problem:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6127">CVE-2016-6127</a>
<p>Man har upptäckt att Request Tracker är sårbar för ett sajtöverskridande
skriptangrepp (XSS) om en angripare laddar upp en illasinnad fil med
en speciell innehållstyp. Installationer som använder
konfigurationsinställningen AlwaysDownloadAttachments påverkas inte av
denna brist. Den applicerade rättningen adresserar alla existerande och
framtida uppladdade bilagor.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5361">CVE-2017-5361</a>
<p>Man har upptäckt att Request Tracker är sårbar för timing
sidokanalsangrepp för användarlösenord.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5943">CVE-2017-5943</a>
<p>Man har upptäckt att Request Tracker är sårbar för ett
informationsläckage av serveröverskridande anropsförfalskning (CSRF)
av verifieringskännetecken om en användare luras till att besöka en
speciellt skapad URL av en angripare.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5944">CVE-2017-5944</a>
<p>Man har upptäckt att Request Tracker är sårbar för en
fjärrkodskörningssårbarhet i prenumerationsgränssnittet i instrumentpanelen.
En angripare med rättigheter kan dra fördel av denna brist genom
försiktigt skapade sparade söknamn för att orsaka att oförväntad
kod exekveras. Den applicerade rättningen adressera alla existerande
och framtida sparade sökningar.</p></li>
</ul>
<p>Utöver de ovan nämnda CVEerna löser denna uppdatering
<a href="https://security-tracker.debian.org/tracker/CVE-2015-7686">CVE-2015-7686</a>
i Email::Address vilket kunde medföra en överbelastning
i själva Request Tracker.</p>
<p>För den stabila utgåvan (Jessie) har dessa problem rättats i
version 4.2.8-3+deb8u2.</p>
<p>För den kommande stabila utgåvan (Stretch) har dessa problem
rättats i version 4.4.1-3+deb9u1.</p>
<p>För den instabila distributionen (Sid) har dessa problem rättats i
version 4.4.1-4.</p>
<p>Vi rekommenderar att ni uppgraderar era request-tracker4-paket.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3882.data"
|