偵測

openSUSE 安全性更新:otrs (openSUSE-SU-2014:0360-1)

medium Nessus Plugin ID 75286

語系:

概要

遠端 openSUSE 主機缺少安全性更新。

說明

OTRS 票證系統已更新至 3.1.20 / 3.2.15:

在 openSUSE 12.3 中,其已更新至 3.1.20 版:(OSA-2014-03、CVE-2014-1695 的修正)

- 改善 HTML 篩選。

- 3.1.19 2014-01-28

- 修正錯誤 #10158 - State::StateGetStatesByType() 中遺失引用

- 已修正 bug#10099 - 客戶介面上遺漏的測驗 token 檢查。

- 修正錯誤 #8489 - 設定每個頁面的票證可重設 AgentTicketQueue。

- 修正錯誤 #9661 - DynamicField 後端中無用的程式碼。

- 修正錯誤 #9622 - 關閉 Cookie 時,小型票證概覽中的動作沒有作用。

- 修正錯誤 #9541 - 套件管理員無法使用 https proxy。

- 修正錯誤 #9594 - 在 PostgreSQL 和 Oracle 上的 AgentTicketPhone 中,未使用多個寄件者位址傳送自動回覆。

- 修正錯誤 #3434 - OTRS 未檢查搜尋時間範圍的有效性。

- 修正錯誤 #9596 - 在合併和彈回畫面上,填入或不填入 [收件者]、[主旨] 和 [內文] 欄位的時機令人困惑。

- 修正錯誤 #9595 - 合併和彈回時,頁面重新載入處理不完整。

- 修正錯誤 #3007 - CheckMXRecord 和 CheckEmailAddresses 對 AgentTicketBounce 沒有影響。

- 修正錯誤 #9512 - AgentTicketSearch 中無效日期的資料庫錯誤。

- 修正錯誤 #8835 - 顯示群組票證時,找不到 TicketID <TICKET ID> 的文章

- 修正錯誤 #9583 - 日期類型的動態欄位在通知中含有時間戳記。

- 修正錯誤 #9579 - Kernel/GenericInterface/Transport/ HTTP/SOAP.pm 中使用的 SOAP 序列化程式未正確設定命名空間。

- 修正錯誤 #7359 - 透過一般代理程式設定擱置狀態時,不會設定擱置時間。

- 修正錯誤 #8380 - 中間名未顯示在 AdminCustomerUser 中。

- 修正錯誤 #9576 - GI TicketSearch 日期和日期/時間動態欄位遭到忽略。

- 變更動態欄位 SearchFieldParameterBuild() API,LayoutObject 現在是選用的。

- 修正錯誤 #9573 - GenericAgent 工作中未考慮日期和日期時間動態欄位。

在 openSUSE 13.1 中,其已更新至 3.2.15 版:(OSA-2014-03、CVE-2014-1695 的修正)

- 改善 HTML 篩選。

- 修正錯誤 #10207 - CustomerFrontend 中的 DynamicField 搜尋功能沒有作用。

- 錯誤 #9011 的後續追蹤 - 值對應後的新值不得為 0。

- 修正錯誤 #10214 - DynamicsFields 的值為 '0' 時,可防止 TicketCreation。

- 修正錯誤 #9616 - 無法正確顯示太長的活動和轉換。

- 修正錯誤 #10212 - 3.3.4 中我的票證和公司票證。

- 修正錯誤 #10205 - GenericInterface:強制 TimeUnits 不得為 0。

- 修正錯誤 #10196 - 票證合併動作未通知現有票證的擁有者。

- 修正錯誤 #9692 - 在 PhoneOutbound 文章上,FROM 欄位顯示客戶 ID 而非代理程式 ID。

- 修正錯誤 #10189 - ProcessManagement:如果未設定票證標題,請使用文章主旨。

- 修正錯誤 #9654 - 驗證為客戶時,TicketUpdate 作業沒有作用。

- 修正錯誤 #10137 - 驗證為客戶時,一般介面 TicketCreate 作業沒有作用。

- 3.2.14

- 修正錯誤 #10172 - 無法在已停用 richtext 時建立處理程序票證。

- 修正錯誤 #10121 - QQMails 在 OTRS 中斷。

- 修正錯誤 #10158 - State::StateGetStatesByType() 中遺失引用

- 修正錯誤 #8969 - FAQ 模組語言檔案安裝失敗 (核心/語言權限)。

- 修正錯誤 #9959 - & 中斷 ExpandCustomerName。

- 已修正 bug#10099 - 客戶介面上遺漏的測驗 token 檢查。

- 修正錯誤 #10103 - ArticleTypeID 在 AgentTicketCompose 中一律為 undef。

- 新增停用對客戶介面中客戶公司相同之其他客戶票證存取的功能。

- 修正錯誤 #9650 - 客戶 ID 中的特殊字元中斷 AgentTicketZoom 中的開放票證。

- 修正錯誤 #9723 - TicketAccountedTime 統計資料未在具有許多票證的 Oracle 上執行

- 修正錯誤 #10077 - 如果沒有相符的 regex,郵件管理員篩選器中的規則運算式傳回 1。

- 修正錯誤 #10070 - 如果轉換中不包含轉換動作,則出現錯誤的錯誤訊息。

解決方案

更新受影響的 otrs 套件。

另請參閱

https://bugzilla.novell.com/show_bug.cgi?id=866476

https://lists.opensuse.org/opensuse-updates/2014-03/msg00030.html

Plugin 詳細資訊

嚴重性: Medium

ID: 75286

檔案名稱: openSUSE-2014-202.nasl

版本: 1.5

類型: local

代理程式: unix

已發布: 2014/6/13

已更新: 2021/1/19

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.8

CVSS v2

風險因素: Medium

基本分數: 4.3

時間分數: 3.4

媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

弱點資訊

CPE: p-cpe:/a:novell:opensuse:otrs, p-cpe:/a:novell:opensuse:otrs-itsm, cpe:/o:novell:opensuse:12.3, cpe:/o:novell:opensuse:13.1

必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2014/3/6

參考資訊

CVE: CVE-2014-1695

BID: 65844