blob: 1de193d0278a47e90129ba1cadf935b76b36e4fc (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
|
#use wml::debian::translation-check translation="9864ee7137baa1842a53340d47151db5ad782ac7" mindelta="1"
<define-tag description>sikkerhedsopdatering</define-tag>
<define-tag moreinfo>
<p>Adskillige sårbarheder er opdaget i Request Tracker, et omfattende system til
sporing af fejlsager. Projektet Common Vulnerabilities and Exposures har
registreret følgende problemer:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6127">CVE-2016-6127</a>
<p>Man opdagede at Request Tracker var sårbar over for et angreb i
forbindelse med udførelse af skripter på tværs af websteder (XSS), hvis en
angriber uploadede en ondsindet fil med en bestemt contenttype.
Installationer hvor opsætningsindstillingen AlwaysDownloadAttachments
anvendes, er ikke påvirket af fejlen. Den benyttede rettelse løser fejlen
for alle eksisterende og fremtidige vedhæftelsesuploads.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5361">CVE-2017-5361</a>
<p>Man opdagede at Request Tracker var sårbar over for timingsidekanalangreb
ved brugeres adgangskoder.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5943">CVE-2017-5943</a>
<p>Man opdagede at Request Tracker var ramt af en informationslækage i
forbindelse med forfalskning af forespørgsler på tværs af websteder (CSRF)
med verifikationstokens, hvis en bruger blev narret af en angriber til at
besøge en særligt fremstillet URL.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5944">CVE-2017-5944</a>
<p>Man opdagede at Request Tracker var ramt af en sårbarhed i forbindelse
med fjernudførelse af kode i grænsefladen til dashboardabonnement. En
priviligeret angriber kunne drage nytte af fejlen gennem omhyggeligt
fremstillede gemt søgning-navne, til at forårsage at uventet kode blev
udført. Den benyttede rettelser løser fejlen for alle eksisterende og
fremtidige gemte søgninger.</p>
</ul>
<p>Ud over de ovennævnte CVE'er, omgår denne opdatering
<a href="https://security-tracker.debian.org/tracker/CVE-2015-7686">\
CVE-2015-7686</a> i Email::Address, hvilket fremkalde et lammelsesangreb i
Request Tracker selv.</p>
<p>I den stabile distribution (jessie), er disse problemer rettet i
version 4.2.8-3+deb8u2.</p>
<p>I den kommende stabile distribution (stretch), er disse problemer
rettet i version 4.4.1-3+deb9u1.</p>
<p>I den ustabile distribution (sid), er disse problemer rettet i
version 4.4.1-4.</p>
<p>Vi anbefaler at du opgraderer dine request-tracker4-pakker.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3882.data"
|