Kurzinfo CB-K17/1005

3 Risiko: mittel
Information zu Schwachstellen und Sicherheitslücken
Titel: Request Tracker: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Datum: 16.06.2017
Software: Request Tracker
Plattform: Debian Linux 8.8 Jessie, Debian Linux 9.0 Stretch
Auswirkung: Ausführen beliebigen Programmcodes
Remoteangriff: Ja
Risiko: mittel
CVE Liste: CVE-2016-6127, CVE-2017-5361, CVE-2017-5943, CVE-2017-5944
Bezug: Debian Security Advisory DSA-3882-1
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

Request Tracker ist ein freies Ticket-System zum Koordinieren und Beantworten von Anfragen (Trouble-Tickets) per E-Mail.

Mehrere Schwachstellen in Request Tracker ermöglichen einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen sowie das Ausspähen von Informationen und einem entfernten, einfach authentisierten Angreifer die Ausführung beliebigen Programmcodes sowie die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs. Für die Ausführung beliebigen Programmcodes benötigt ein Angreifer erhöhte Privilegien in der Anwendung. Die Schwachstelle CVE-2017-5361 betrifft ebenfalls das externe Authentifizierungs-Modul 'RT::Authen::ExternalAuth' für Request Tracker. Debian stellt für die stabile Distribution Jessie sowie die zukünftig stabile Distribution Stretch Sicherheitsupdates für das Paket 'request-tracker4' bereit. Zusätzlich steht für Debian Jessie ein Sicherheitsupdate für das Paket 'rt-authen-externalauth' zur Verfügung.

  1. Debian Security Advisory DSA-3882-1

  2. Debian Security Advisory DSA-3883-1

  3. Schwachstelle CVE-2016-6127 (NVD)

  4. Schwachstelle CVE-2017-5361 (NVD)

  5. Schwachstelle CVE-2017-5943 (NVD)

  6. Schwachstelle CVE-2017-5944 (NVD)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.