Mandriva Linux 安全性公告:otrs (MDVSA-2013:112)
medium Nessus Plugin ID 66124
語系:
概要
遠端 Mandriva Linux 主機缺少安全性更新。說明
更新版 otrs 套件可修正安全性弱點:在 2.4.13 之前的 2.4.x 版、3.0.15 之前的 3.0.x 版和 3.1.9 之前的 3.1.x 版開放票證要求系統 (OTRS) Help Desk,以及 2.1.5 之前的 2.1.x 版、3.0.6 之前的 3.0.x 版和 3.1.6 之前的 3.1.x 版 OTRS ITSM 中,多個跨網站指令碼 (XSS) 弱點允許遠端攻擊者透過電子郵件訊息內文 (其中含有 (1) 任意元素的 STYLE 屬性中的階層式樣式表 (CSS) 運算式內容,或 (2) HTTP-EQUIV=CONTENT-TYPE META 元素中的 UTF-7 文字),插入任意 Web 指令碼或 HTML (CVE-2012-2582)。
使用 Firefox 或 Opera 時,在 2.4.14 之前的 2.4.x 版、3.0.16 之前的 3.0.x 版和 3.1.10 之前的 3.1.x 版開放票證要求系統 (OTRS) Help Desk 中,跨網站指令碼 (XSS) 弱點會允許遠端攻擊者透過含有巢狀 HTML 標籤的電子郵件訊息內文,插入任意 Web 指令碼或 HTML (CVE-2012-4600)。
在 2.4.15 之前的 2.4.x 版、3.0.17 之前的 3.0.x 版和 3.1.11 之前的 3.1.x 版開放票證要求系統 (OTRS) Help Desk 中,跨網站指令碼 (XSS) 弱點會允許遠端攻擊者透過電子郵件訊息內文 (其中某元素的 SRC 屬性內 javascript: URL 前有空格),插入任意 Web 指令碼或 HTML;IFRAME 元素即為一例 (CVE-2012-4751)。
解決方案
更新受影響的 otrs 套件。Plugin 詳細資訊
嚴重性: Medium
ID: 66124
檔案名稱: mandriva_MDVSA-2013-112.nasl
版本: 1.8
類型: local
已發布: 2013/4/20
已更新: 2021/1/6
支援的感應器: Nessus
風險資訊
VPR
風險因素: Low
分數: 3.8
CVSS v2
風險因素: Medium
基本分數: 4.3
時間分數: 3.4
媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
弱點資訊
CPE: p-cpe:/a:mandriva:linux:otrs, cpe:/o:mandriva:business_server:1
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2013/4/10
參考資訊
CVE: CVE-2012-2582, CVE-2012-4600, CVE-2012-4751
BID: 56093
MDVSA: 2013:112
MGASA: 2012-0322