int(2056)

Boletines de Vulnerabilidades


Múltiples vulnerabilidades en OTRS

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Aumento de la visibilidad
Dificultad Avanzado
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema

Propiedad Valor
Fabricante afectado GNU/Linux
Software afectado OTRS

Descripción

Se han descubierto múltiples vulnerabilidades en OTRS. Las vulnerabilidades son descritas a continuación:

- CVE-2005-3893: Múltiples vulnerabilidades de inyección SQL podrían permitir a un atacante remoto ejecutar comandos SQL arbitrarios.

- CVE-2005-3894: Múltiples vulnerabilidades de cross-site scripting podrían permitir a un atacante remoto ejecutar código Web arbitrario.

- CVE-2005-3895: Vulnerabilidad de código Web arbitrario.

Solución



Actualización de software

SUSE Linux
Actualizar mediante YaST Online Update

Debian

Debian Linux 3.1
Source
http://security.debian.org/pool/updates/main/o/otrs/otrs_1.3.2p01-6.dsc
http://security.debian.org/pool/updates/main/o/otrs/otrs_1.3.2p01-6.diff.gz
http://security.debian.org/pool/updates/main/o/otrs/otrs_1.3.2p01.orig.tar.gz
Architecture independent
http://security.debian.org/pool/updates/main/o/otrs/otrs-doc-de_1.3.2p01-6_all.deb
http://security.debian.org/pool/updates/main/o/otrs/otrs-doc-en_1.3.2p01-6_all.deb
http://security.debian.org/pool/updates/main/o/otrs/otrs_1.3.2p01-6_all.deb

Identificadores estándar

Propiedad Valor
CVE CVE-2005-3893
CVE-2005-3894
CVE-2005-3895
BID

Recursos adicionales

SUSE Security Summary Report SUSE-SR:2005:030
http://www.novell.com/linux/security/advisories/2005_30_sr.html

Debian Security Advisory (DSA 973-1)
http://lists.debian.org/debian-security-announce/debian-security-announce-2006/msg00050.html

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido por SUSE 2005-12-19
1.1 Aviso emitido por Debian (DSA 973-1) 2006-02-15

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT