Debian DLA-1119-1: otrs2 セキュリティ更新

high Nessus プラグイン ID 103577

Language:

概要

リモートの Debian ホストにセキュリティ更新プログラムがありません。

説明

統計の書き込み権限を持つエージェントとしてチケットリクエストシステムのOTRSにログインしている攻撃者が、任意のコードをシステムに挿入する可能性があります。これにより、権限昇格、データ損失、サービス拒否などの深刻な問題が発生する可能性があります。この問題はCVE-2017-14635とも呼ばれ、OTRS3の最新のUpstreamリリースにアップグレードすることで解決されます。

****重要なアップグレードの注意**** ===============================

この更新はマニュアルで行う必要があります。アップグレードする前に、すべてのファイルとデータベースをバックアップすることを強くお勧めします。MySQLバックエンドを使用する場合は、Debianバグレポート#707075および付属のREADME.Debianファイルをお読みになり、詳細をご確認ください。

更新後もメンテナンスモードが有効であることが判明した場合は、問題を解決する/etc/otrs/maintenance.htmlおよび/var/lib/otrs/httpd/htdocs/maintenance.htmlを削除することを推奨します。

さらに、以下のセキュリティ脆弱性にも対処しています:

CVE-2014-1695 OTRSのクロスサイトスクリプティング（XSS）の脆弱性により、リモートの攻撃者が細工されたHTMLメールを介して、任意のWebスクリプトまたはHTMLを注入する可能性があります。

CVE-2014-2553 OTRSのクロスサイトスクリプティング（XSS）の脆弱性により、リモートの認証されたユーザーが動的フィールドに関連するベクトルを介して、任意のWebスクリプトまたはHTMLを注入する可能性があります。

CVE-2014-2554 OTRSにより、リモートの攻撃者がIFRAME要素を介してクリックジャッキング攻撃を仕掛ける可能性があります

Debian 7「Wheezy」では、これらの問題はバージョン3.3.18-1~deb7u1で修正されました。

お使いのotrs2パッケージのアップグレードをお勧めします。

注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。