Debian DSA-2480-4:request-tracker3.8 - 多个漏洞
medium Nessus 插件 ID 59758
语言:
简介
远程 Debian 主机缺少与安全相关的更新。描述
在问题跟踪系统 Request Tracker 中发现多个漏洞:- CVE-2011-2082 针对 CVE-2011-0009 引入的易受攻击密码脚本无法修正禁用用户的密码哈希。
- CVE-2011-2083 已发现多个跨站脚本问题。
- CVE-2011-2084 特权用户可泄露密码哈希。
- CVE-2011-2085 已发现多个跨站请求伪造漏洞。如果此更新中断您的设置,您可通过将 $RestrictReferrer 设置为 0 来还原旧行为。
- CVE-2011-4458 支持可变 envelope 返回路径的代码允许执行任意代码。
- CVE-2011-4459 禁用的群组并未完全被视为已禁用。
- CVE-2011-4460 SQL 注入漏洞,仅特权用户可利用。
请注意,如果在 Apache Web 服务器下运行 request-tracker3.8,则必须手动停止和启动 Apache。不建议使用“重新启动”机制,尤其当使用 mod_perl 时。
解决方案
升级 request-tracker3.8 程序包。对于稳定发行版本 (squeeze),已在版本 3.8.8-7+squeeze5 中修复了这些问题。
另见
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=674924
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=675369
https://security-tracker.debian.org/tracker/CVE-2011-2082
https://security-tracker.debian.org/tracker/CVE-2011-0009
https://security-tracker.debian.org/tracker/CVE-2011-2083
https://security-tracker.debian.org/tracker/CVE-2011-2084
https://security-tracker.debian.org/tracker/CVE-2011-2085
https://security-tracker.debian.org/tracker/CVE-2011-4458
https://security-tracker.debian.org/tracker/CVE-2011-4459
https://security-tracker.debian.org/tracker/CVE-2011-4460
https://packages.debian.org/source/squeeze/request-tracker3.8
插件详情
严重性: Medium
ID: 59758
文件名: debian_DSA-2480.nasl
版本: 1.11
类型: local
代理: unix
发布时间: 2012/6/29
最近更新时间: 2021/1/11
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.8
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:request-tracker3.8, cpe:/o:debian:debian_linux:6.0
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
易利用性: No known exploits are available
补丁发布日期: 2012/9/15
参考资料信息
CVE: CVE-2011-2082, CVE-2011-2083, CVE-2011-2084, CVE-2011-2085, CVE-2011-4458, CVE-2011-4459, CVE-2011-4460
BID: 53660
DSA: 2480