Vulnerability Bulletins |
Múltiples vulnerabilidades en "request-tracker" |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto con cuenta |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software |
request-tracker 3.6 request-tracker 3.8 |
Description |
|
|
Se han encontrado múltiples vulnerabilidades en request-tracker versiones 3.6 y 3.7. Las vulnerabilidades son descritas a continuación: - CVE-2011-1685: Se ha descubierto una vulnerabilidad en request-trackers. La vulnerabilidad reside en un error en los valores fuente de los campos personalizados. Un atacante remoto podría ejecutar código arbitrario mediante métodos no especificados. - CVE-2011-1686: Se ha descubierto una vulnerabilidad en request-trackers. La vulnerabilidad reside en un error en la inyección de SQL. Un atacante remoto podría ejecutar código arbitrario mediante métodos no especificados. - CVE-2011-1687: Se ha descubierto una vulnerabilidad en request-trackers. La vulnerabilidad reside en un error la confidencialidad. Un atacante remoto podría obtener acceso mediante el uso de la interfaz de búsqueda. - CVE-2011-1688: Se ha descubierto una vulnerabilidad en request-trackers. La vulnerabilidad reside en un error en un salto de directorio. Un atacante remoto podría obtener acceso mediante una petición HTTP especialmente manipulada. - CVE-2011-1689: Se ha descubierto una vulnerabilidad en request-trackers. La vulnerabilidad reside en un error de cross-site scripting. Un atacante remoto podría ejecutar código arbitrario mediante métodos no especificados. - CVE-2011-1690: Se ha descubierto una vulnerabilidad en request-trackers. La vulnerabilidad reside en la confidencialidad. Un atacante remoto podría obtener acceso mediante la redirección de los credenciales a otro servidor. |
|
Solution |
|
|
Actualización de software Debian (DSA-2220-1) Para la antigua distribución estable (lenny), estos problemas han sido arreglados en la versión 3.6.7-5 + lenny6 de la request-tracker3.6 package. Para la distribución estable (squeeze), estos problemas han sido arreglados en la versión 3.8.8-7 + squeeze1 de request-tracker3.8 package. Para la distribución de prueba (wheezy) y la distribución inestable (sid), estos problemas han sido arreglados en la versión 3.8.10-1 de request-tracker3.8 package. http://www.debian.org/security/ |
|
Standar resources |
|
| Property | Value |
| CVE |
CVE-2011-1685 CVE-2011-1686 CVE-2011-1687 CVE-2011-1688 CVE-2011-1689 CVE-2011-1690 |
| BID | |
Other resources |
|
|
Debian Security Advisory (DSA-2220-1) http://lists.debian.org/debian-security-announce/2011/msg00089.html |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2011-04-26 |