Debian DSA-3176-1:request-tracker4 - 安全性更新
high Nessus Plugin ID 81556
語系:
概要
遠端 Debian 主機缺少安全性更新。說明
在要求追蹤器 (可延伸的障礙通知單追蹤系統) 中發現多個弱點。Common Vulnerabilities and Exposures 專案發現下列問題:- CVE-2014-9472 Christian Loos 發現一個遠端拒絕服務弱點,該弱點會透過電子郵件閘道遭到惡意利用,任何安裝若接受來自未受信任來源的郵件便會受到影響。根據 RT 的記錄組態,遠端攻擊者可利用此瑕疵造成 CPU 與磁碟使用率過高。
- CVE-2015-1165 Christian Loos 發現一個可能洩漏 RSS 摘要 URL (甚至票證資料) 的資訊洩漏瑕疵。
- CVE-2015-1464 據發現,RSS 摘要 URL 也可以用來執行工作階段劫持,讓擁有該 URL 的使用者以建立摘要之使用者的身分登入。
解決方案
升級 request-tracker4 套件。針對穩定的發行版本 (wheezy),這些問題已在 4.0.7-5+deb7u3 版本中修正。
另請參閱
https://security-tracker.debian.org/tracker/CVE-2014-9472
https://security-tracker.debian.org/tracker/CVE-2015-1165
https://security-tracker.debian.org/tracker/CVE-2015-1464
Plugin 詳細資訊
嚴重性: High
ID: 81556
檔案名稱: debian_DSA-3176.nasl
版本: 1.5
類型: local
代理程式: unix
已發布: 2015/2/27
已更新: 2021/1/11
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.2
CVSS v2
風險因素: High
基本分數: 7.1
媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:C
弱點資訊
CPE: p-cpe:/a:debian:debian_linux:request-tracker4, cpe:/o:debian:debian_linux:7.0
必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
修補程式發佈日期: 2015/2/26
參考資訊
CVE: CVE-2014-9472, CVE-2015-1165, CVE-2015-1464
DSA: 3176