1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" maintainer="Lev Lamberov"
<define-tag description>несколько уязвимостей</define-tag>
<define-tag moreinfo>
<p>В Request Tracker, расширяемой системе отслеживания сообщений об
ошибках, были обнаружены несколько уязвимостей. Проект Common Vulnerabilities
and Exposures определяет следующие проблемы:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-4733">CVE-2012-4733</a>
<p>Пользователь с правом ModifyTicket может обходить право DeleteTicket или
любых индивидуальные права перехода жизненного цикла и, таким образом, модифицировать данные
билета без авторизации.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-3368">CVE-2013-3368</a>
<p>Инструмент командной строки rt использует полупредсказуемые временные файлы. Пользователь
может использовать эту утечку для перезаписи файлов с правами пользователя,
запустившего команду rt.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-3369">CVE-2013-3369</a>
<p>Пользователь, имеющий право просматривать страницы администрирования, может запустить
произвольные компоненты Mason (без изменения аргументов), которые могут
иметь негативные последствия.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-3370">CVE-2013-3370</a>
<p>Request Tracker позволяет направлять запросы компонентам с частным обратным вызовом,
которые могут использовать для недобросовестного использования расширения Request Tracker
или локального обратного вызова, использующего переданные ему небезопасные
аргументы.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-3371">CVE-2013-3371</a>
<p>Request Tracker уязвим к атакам межсайтового скриптинга через
имена прилагаемых файлов.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-3372">CVE-2013-3372</a>
<p>Доминик Харгривс обнаружил, что Request Tracker уязвим к
инъекции заголовка HTTP, ограниченной значением
заголовка Content-Disposition.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-3373">CVE-2013-3373</a>
<p>Request Tracker уязвим к инъекции заголовка MIME в исходящей
почте, созданной Request Tracker.</p>
<p>Встроенные шаблоны Request Tracker исправлены в данном обновлении. Тем не менее, любые
индивидуальные шаблоны электронной почты следует обновить, чтобы вставляемые
в заголовки сообщений значения не содержали символов новой строки.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-3374">CVE-2013-3374</a>
<p>Request Tracker уязвим к ограниченному повторному использованию сессии при использовании
хранилища сессий на основе файлов, Apache::Session::File. Тем не менее, настройка Request
Tracker по умолчанию использует
Apache::Session::File только в том случае, если используются базы данных Oracle.</p></li>
</ul>
<p>Данная версия Request Tracker включает в себя обновление содержимого базы данных. Если
вы используете базу данных, управляемую dbconfig, вам будет предложено
на выбор автоматически применить данное обновление. В противном случае, см. объяснение в
/usr/share/doc/request-tracker4/NEWS.Debian.gz, в котором обновление объяснено
пошагово.</p>
<p>Заметьте, что если вы запустили request-tracker4 под веб-сервером Apache,
вам следует вручную остановить и запустить Apache. Использование механизма <q>restart</q>
не рекомендуется, особенно в том случае, если используется mod_perl или любая другая разновидность
постоянного процесса Perl, такая как FastCGI или SpeedyCGI.</p>
<p>В стабильном выпуске (wheezy) эти проблема были исправлены в
версии 4.0.7-5+deb7u2.</p>
<p>В тестируемом выпуске (jessie) эти проблемы будут исправлены
позже.</p>
<p>В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 4.0.12-2.</p>
<p>Рекомендуется обновить пакеты request-tracker4.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2013/dsa-2671.data"
# $Id$
|
