Обновление безопасности Request Tracker 4.0.23 и 4.2.10

Темы:

Сегодня вышли обновления популярного баг-трекера и хелп-деска Request Tracker, который в частности используется для инфраструктуры открытых проектов, таких как Perl, OpenSSL, а также множества коммерческих организаций.

Обновлена старая поддерживаемая версия 4.0.23 и новая стабильная версия 4.2.10. Обновление содержит исправление трёх уязвимостей:

  • CVE-2014-9472 — атака на отказ в обслуживание против почтового шлюза RT, который настроен на приём писем из любых источников. В зависимости от настроек логирования удалённый атакующий может вызвать высокую нагрузку на процессор или дисковую подсистему.
  • CVE-2015-1165 — раскрытие URL RSS-ленты и соответственно данных в заявках
  • CVE-2015-1164 — URL RSS-ленты позволяет перехватить сессию пользователя, который создал эту ленту