blob: 5caeeb8e1a323d3cbda4deb03b47908183052568 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
|
#use wml::debian::translation-check translation="9864ee7137baa1842a53340d47151db5ad782ac7" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности</define-tag>
<define-tag moreinfo>
<p>В Request Tracker, расширяемой системе отслеживания уведомлений о неисправностях,
были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities
and Exposures определяет следующие проблемы:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2016-6127">CVE-2016-6127</a>
<p>Было обнаружено, что Request Tracker уязвим к межсайтовому
скриптингу (XSS) в случае, если злоумышленник загружает вредоносный файл с
содержимым определённого типа. Установки, использующие опцию
настройки AlwaysDownloadAttachments, не подвержены этой уязвимости.
Применённое исправление касается всех уже имеющихся и будущих загружаемых
вложений.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5361">CVE-2017-5361</a>
<p>Было обнаружено, что Request Tracker уязвим к атакам на пароли пользователей
через сторонние каналы по таймингам.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5943">CVE-2017-5943</a>
<p>Было обнаружено, что Request Tracker уязвим к раскрытию информации
о токенах проверки в случае подделки межсайтового запроса (CSRF), если
пользователь открывает специально сформированный URL, переданный
злоумышленником.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-5944">CVE-2017-5944</a>
<p>Было обнаружено, что Request Tracker уязвим к выполнению произвольного
кода в интерфейсе подписки страницы управления. Привилегированный
злоумышленник может использовать эту уязвимость с помощью
специально сформированных сохранённых поисковых имён для вызова выполнения неожиданного
кода. Применённое исправление касается всех уже имеющихся и будущих сохранённых
поисковых имён.</p>
</ul>
<p>Помимо указанных выше CVE данное исправление частично решает проблему
<a href="https://security-tracker.debian.org/tracker/CVE-2015-7686">CVE-2015-7686</a>
в Email::Address, которая может вызывать отказ в обслуживании
самого Request Tracker.</p>
<p>В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 4.2.8-3+deb8u2.</p>
<p>В готовящемся стабильном выпуске (stretch) эти проблемы были
исправлены в версии 4.4.1-3+deb9u1.</p>
<p>В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 4.4.1-4.</p>
<p>Рекомендуется обновить пакеты request-tracker4.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3882.data"
# $Id$
|