[RFR] wml://security/2014/dsa-2867.wml
Bonjour,
Une nouvelle annonce de sécurité vient d'être publiée. Merci d'avance
pour vos relectures.
Amicalement,
jipege
#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans otrs2, le système libre
de gestion de requêtes par tickets (Open Ticket Request System).
Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.</p>
<ul>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2014-1471">CVE-2014-1471</a>
<p>Norihiro Tanaka a signalé l'absence de vérification de jeton
d'authentification par question/réponse. Un attaquant qui réussit à prendre
le contrôle de la session d'un client connecté pourrait créer des tickets
et/ou envoyer des suites à des tickets existant à cause de cette absence
de vérification.</p></li>
<li><a href="http://security-tracker.debian.org/tracker/CVE-2014-1694">CVE-2014-1694</a>
<p>Karsten Nielsen de Vasgard GmbH a découvert qu'un attaquant avec un
identifiant valide de client ou d'agent pourrait injecter du code SQL Ã travers
l'URL de recherche de ticket.</p></li>
</ul>
<p>Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 2.4.9+dfsg1-3+squeeze5.</p>
<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 3.1.7+dfsg1-8+deb7u4.</p>
<p>Pour la distribution testing (Jessie) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.3.4-1.</p>
<p>Nous vous recommandons de mettre à jour vos paquets otrs2.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2867.data"
# $Id: dsa-2867.wml,v 1.1 2014/02/23 20:45:03 carnil Exp $
Reply to: