Debian DSA-2670-1：request-tracker3.8 - いくつかの脆弱性

medium Nessus プラグイン ID 66546

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

複数の脆弱性が、拡張トラブルチケット追跡システムである Request Tracker で発見されました。Common Vulnerabilities and Exposures プロジェクトは次の問題を特定しています：

- CVE-2013-3368 rt コマンドラインツールがある程度のことを予測できる一時ファイルを使用します。悪意のあるユーザーがこの欠陥を利用して、 rt コマンドラインツールを実行しているユーザーの権限でファイルを上書きすることができます。

- CVE-2013-3369 管理ページを確認できる悪意あるユーザーが、任意の Mason コンポーネントを（引数のコントロールなしに）実行し、ネガティブなサイドエフェクトを生じさせることがあります。

- CVE-2013-3370 Request Tracker により、プライベートコールバックコンポーネントに直接リクエストを出すことができます。 Request Tracker の拡張機能、あるいは安全ではない方法で渡される引数を使用するローカルコールバックを悪用するために、これを使用することが可能です。

- CVE-2013-3371 Request Tracker が添付ファイルのファイル名によるクロスサイトスクリプティング攻撃に対して脆弱性があります。

- CVE-2013-3372 Dominic Hargreaves は、Request Tracker が、 Content-Disposition ヘッダーの値に制限されている HTTP ヘッダー注入に対して脆弱性があることを発見しました。

- CVE-2013-3373 Request Tracker が生成する送信メールの MIME ヘッダー注入に対して Request Tracker に脆弱性があります。

Request Tracker ストックテンプレートは、この更新により解決されています。しかし、メールヘッダーに書き込まれた値が新しい行を含まないようにするために、カスタムメールテンプレートを更新すべきです。

- CVE-2013-3374 ファイルベースのセッションストアである Apache::Session::File を使用するときに、 Request Tracker は制限されたセッションの再使用に対して脆弱性があります。しかし、Oracle データベースに対して構成されるときに、 Request Tracker のデフォルトセッション構成は、 Apache::Session::File だけを使用します。

Request Tracker のこのバージョンは、データベースコンテンツのアップグレードを含みます。
dbconfig マネージドデータベースを使用している場合、これを適用することを自動的に選択するようになっています。または、手動で実行する場合は /usr/share/doc/request-tracker3.8/NEWS.Debian.gz の説明を参照してください。

Apache Web サーバーで request-tracker3.8 を実行する場合は、 Apache を手動で停止して起動する必要があります。「再起動」の' メカニズムは推奨されていません。特に、mod_perl、あるいは FastCGI または SpeedyCGI などの永続的な Perl のプロセスの形式を使用している場合は、推奨しません。

ソリューション

request-tracker3.8 パッケージにアップグレードしてください。

旧安定版（oldstable）ディストリビューション（squeeze）では、これらの問題はバージョン 3.8.8-7+squeeze7 で修正されています。

安定版（stable）、テスト版（testing）、不安定版（unstable）ディストリビューションには、もう request-tracker3.8 は含まれていません。これは、request-tracker4 に置換されました。