Request Tracker HTTP报头注入漏洞

漏洞信息详情

Request Tracker HTTP报头注入漏洞

• CNNVD编号：CNNVD-201305-514
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2013-3372
  
• 漏洞类型：
  
  
  跨站脚本
  
• 发布时间：
  
  2013-05-24
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2013-08-27
  
• 厂        商：
  
  bestpractical
• 漏洞来源：
  Dominic Hargreaves

Best Practical Solutions Request Tracker（RT）是美国Best Practical Solutions公司的一套企业级开源问题跟踪系统。该系统具有Bug跟踪、客户服务、自定义工作流等功能。

RT 3.8.17之前的3.8.x版本和RT 4.0.13之前的4.0.x版本中存在安全漏洞。远程攻击者可利用该漏洞注入多个Content-Disposition（打开文件下载窗口） HTTP头信息，也可能实施跨站脚本攻击。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://lists.bestpractical.com/pipermail/rt-announce/2013-May/000226.html

来源: OSVDB

名称: 93607

链接:http://www.osvdb.org/93607

来源: DEBIAN

名称: DSA-2670

链接:http://www.debian.org/security/2012/dsa-2670

来源: SECUNIA

名称: 53522

链接:http://secunia.com/advisories/53522

来源: SECUNIA

名称: 53505

链接:http://secunia.com/advisories/53505

来源: MLIST

名称: [rt-announce] 20130522 RT 3.8.17 released

链接:http://lists.bestpractical.com/pipermail/rt-announce/2013-May/000228.html

来源: MLIST

名称: [rt-announce] 20130522 RT 4.0.13 released

链接:http://lists.bestpractical.com/pipermail/rt-announce/2013-May/000227.html

来源: MLIST

名称: [rt-announce] 20130522 Security vulnerabilities in RT

链接:http://lists.bestpractical.com/pipermail/rt-announce/2013-May/000226.html

来源: BID

名称: 60105

链接:http://www.securityfocus.com/bid/60105