Miembros de
Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en "request-tracker" |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Avanzado |
| Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | GNU/Linux |
| Software afectado |
request-tracker 3.6 request-tracker 3.8 |
Descripción |
|
|
Se han encontrado múltiples vulnerabilidades en request-tracker versiones 3.6 y 3.7. Las vulnerabilidades son descritas a continuación: - CVE-2011-1685: Se ha descubierto una vulnerabilidad en request-trackers. La vulnerabilidad reside en un error en los valores fuente de los campos personalizados. Un atacante remoto podría ejecutar código arbitrario mediante métodos no especificados. - CVE-2011-1686: Se ha descubierto una vulnerabilidad en request-trackers. La vulnerabilidad reside en un error en la inyección de SQL. Un atacante remoto podría ejecutar código arbitrario mediante métodos no especificados. - CVE-2011-1687: Se ha descubierto una vulnerabilidad en request-trackers. La vulnerabilidad reside en un error la confidencialidad. Un atacante remoto podría obtener acceso mediante el uso de la interfaz de búsqueda. - CVE-2011-1688: Se ha descubierto una vulnerabilidad en request-trackers. La vulnerabilidad reside en un error en un salto de directorio. Un atacante remoto podría obtener acceso mediante una petición HTTP especialmente manipulada. - CVE-2011-1689: Se ha descubierto una vulnerabilidad en request-trackers. La vulnerabilidad reside en un error de cross-site scripting. Un atacante remoto podría ejecutar código arbitrario mediante métodos no especificados. - CVE-2011-1690: Se ha descubierto una vulnerabilidad en request-trackers. La vulnerabilidad reside en la confidencialidad. Un atacante remoto podría obtener acceso mediante la redirección de los credenciales a otro servidor. |
|
Solución |
|
|
Actualización de software Debian (DSA-2220-1) Para la antigua distribución estable (lenny), estos problemas han sido arreglados en la versión 3.6.7-5 + lenny6 de la request-tracker3.6 package. Para la distribución estable (squeeze), estos problemas han sido arreglados en la versión 3.8.8-7 + squeeze1 de request-tracker3.8 package. Para la distribución de prueba (wheezy) y la distribución inestable (sid), estos problemas han sido arreglados en la versión 3.8.10-1 de request-tracker3.8 package. http://www.debian.org/security/ |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE |
CVE-2011-1685 CVE-2011-1686 CVE-2011-1687 CVE-2011-1688 CVE-2011-1689 CVE-2011-1690 |
| BID | |
Recursos adicionales |
|
|
Debian Security Advisory (DSA-2220-1) http://lists.debian.org/debian-security-announce/2011/msg00089.html |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2011-04-26 |