Debian DSA-2671-1 : request-tracker4 - 多個弱點

medium Nessus Plugin ID 66547

語系：

概要

遠端 Debian 主機缺少安全性更新。

說明

在要求追蹤器 (可延伸的障礙通知單追蹤系統) 中發現多個弱點。Common Vulnerabilities and Exposures 專案發現下列問題：

- CVE-2012-4733 具有 ModifyTicket 權限的使用者可繞過 DeleteTicket 權限或任何自訂生命週期轉換權限，進而在未授權的情況下修改票證資料。

- CVE-2013-3368 rt 命令行工具使用半預測的暫存檔。惡意使用者可利用此瑕疵，以執行 rt 命令行工具之使用者的權限，覆寫檔案。

- CVE-2013-3369 可以查看管理頁面的惡意使用者可以執行任意 Mason 元件 (不含引數控制項)，這可能會有負面的副作用。

- CVE-2013-3370 要求追蹤器允許對私用回呼元件的直接要求，這可用來惡意利用使用以不安全的方式傳入之引數的要求追蹤器延伸模組或本機回呼。

- CVE-2013-3371 要求追蹤器容易透過附件檔案名稱，受到跨網站指令碼攻擊。

- CVE-2013-3372 Dominic Hargreaves 發現要求追蹤器容易受到受限於 Content-Disposition 標頭值的 HTTP 標頭插入。

- CVE-2013-3373 要求追蹤器在要求追蹤器產生的外寄電子郵件中容易遭受 MIME 標頭插入。

此更新會解析要求追蹤器庫存範本。但是應該更新自訂電子郵件範本，以確保插入郵件標頭的值不包含新行。

- CVE-2013-3374 使用檔案型工作階段儲存區 Apache::Session::File 時，要求追蹤器容易受到受限的工作階段重複使用。不過，針對 Oracle 資料庫設定時，要求追蹤器的預設工作階段組態僅會使用 Apache::Session::File。

此版本的要求追蹤器包含資料庫內容升級。
如果您要使用受 dbconfig 管理的資料庫，將會為您提供自動套用此升級的選擇。或者，亦可參閱 /usr/share/doc/request-tracker4/NEWS.Debian.gz 中的解釋，瞭解需執行的手冊步驟。

請注意，如果您在 Apache web 伺服器下執行 request-tracker4，您必需手動停止並啟動 Apache。不建議使用「重新啟動」機制，特別是在使用 mod_perl 或任何形式的永久性 Perl 處理程序時，例如 FastCGI 或 SpeedyCGI。