2017-1040: Request Tracker: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2017-06-16 15:27)
- Neues Advisory
- Version 2 (2017-07-27 08:21)
- Für Fedora 24, 25 und 26 stehen Sicherheitsupdates für Request Tracker in Form der Pakete 'rt-4.2.13-2.fc24', 'rt-4.4.1-9.fc25' und 'rt-4.4.1-9fc26' im Status 'testing' bereit.
Betroffene Software
Office
Betroffene Plattformen
Linux
Beschreibung:
Mehrere Schwachstellen in Request Tracker ermöglichen einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen sowie das Ausspähen von Informationen und einem entfernten, einfach authentisierten Angreifer die Ausführung beliebigen Programmcodes sowie die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs. Für die Ausführung beliebigen Programmcodes benötigt ein Angreifer erhöhte Privilegien in der Anwendung. Die Schwachstelle CVE-2017-5361 betrifft ebenfalls das externe Authentifizierungs-Modul 'RT::Authen::ExternalAuth' für Request Tracker.
Debian stellt für die stabile Distribution Jessie sowie die zukünftig stabile Distribution Stretch Sicherheitsupdates für das Paket 'request-tracker4' bereit. Zusätzlich steht für Debian Jessie ein Sicherheitsupdate für das Paket 'rt-authen-externalauth' zur Verfügung.
Schwachstellen:
CVE-2016-6127
Schwachstelle in Request Tracker ermöglicht Cross-Site-Scripting-AngriffCVE-2017-5361
Schwachstelle in Request Tracker ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2017-5943
Schwachstelle in Request Tracker ermöglicht Ausspähen von InformationenCVE-2017-5944
Schwachstelle in Request Tracker ermöglicht Ausführung beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.