FreeBSD：RT -- 多种漏洞 (3a429192-c36a-11e2-97a9-6805ca0b3d42)

medium Nessus 插件 ID 66581

语言：

简介

远程 FreeBSD 主机缺少一个或多个与安全有关的更新。

描述

Thomas Sibley 报告：

我们发现了许多同时影响 RT 3.8.x 和 RT 4.0.x 的安全漏洞。我们要发布 RT 版本 3.8.17 和 4.0.13 以解决这些漏洞，以及适用于 3.8 和 4.0 的所有已发布版本的修补程序。

3.8.17、4.0.13 和下面的修补程序解决的漏洞包括：

RT 4.0.0 和更高版本容易受到有限的权限升级的影响，该问题导致未经授权的票证数据修改。任何用户可能会通过 ModifyTicket 来绕过 DeleteTicket 权限和任何自定义生命周期过渡权限。为此漏洞分配了编号 CVE-2012-4733。

RT 3.8.0 和更高版本包含在创建临时文件时使用半预测性名称的 bin/rt 版本。此问题可能被恶意用户利用于以运行 bin/rt 的用户的权限覆盖文件。为此漏洞分配了编号 CVE-2013-3368。

RT 3.8.0 和更高版本允许可看见管理页面的用户调用任意 Mason 组件（在不控制参数的情况下）。此问题可被恶意用户用于运行可能具有负面副作用的私有组件。为此漏洞分配了编号 CVE-2013-3369。

RT 3.8.0 和更包版本允许进行对私有回调组件的直接请求。尽管 RT 未随附任何回调组件，但此问题也可被用于利用使用以不安全方式方式接收参数的扩展或本地回调。为此漏洞分配了编号 CVE-2013-3370。

RT 3.8.3 和更高版本容易受到通过附件文件名造成的跨站脚本 (XSS) 的影响。由于解析要求，该矢量难以利用。此外，配置了 RT 的“MakeClicky”功能时，RT 4.0.0 和更高版本容易受到通过票证内容中恶意构建的“URL”造成的 XSS 的影响。尽管认为不可在 stock 配置下利用该问题，我们还是包含了用于 RTIR 2.6.x 的修补程序以添加保护。这些漏洞被分配了 CVE-2013-3371。

RT 3.8.0 和更高版本容易受到仅限 Content-Disposition 标头值的 HTTP 标头注入的影响。不可能注入其他任意响应头。某些（尤其是较旧的）浏览器可能允许多种 Content-Disposition 值，这样可导致 XSS。较新的浏览器包含用于防止此问题的安全措施。
感谢 Dominic Hargreaves 报告此漏洞。为此漏洞分配了编号 CVE-2013-3372。

RT 3.8.0 和更高版本容易受到由 RT 生成的出站电子邮件中的 MIME 标头注入的影响。此修补程序集合解决了通过 RT 的 stock 模板造成的矢量，但应更新任何自定义电子邮件模板以确保插入邮件标头的值不包含换行符。为此漏洞分配了编号 CVE-2013-3373。

RT 3.8.0 和更高版本容易受到使用基于文件的会话存储 Apache::Session::File 时有限的会话重用的影响。RT 的默认会话配置仅将 Apache::Session::File 用于 Oracle。可在本地将使用 Oracle 的 RT 实例配置为使用数据库后端 Apache::Session::Oracle，此情况下永远不会重用会话。会话重用的范围仅限某些用户首选项和缓存的信息泄漏，例如可用于创建票证的队列名。感谢 Jenny Martin 报告促成发现此漏洞的问题。为此漏洞分配了编号 CVE-2013-3374。