製品・ソフトウェアに関する情報

JVN脆弱性詳細

Request Tracker におけるチケットを削除される脆弱性

Title	Request Tracker におけるチケットを削除される脆弱性
Summary	Request Tracker (RT) は、DeleteTicket および "custom lifecycle transition" パーミッションを適切に処理しないため、チケットを削除される脆弱性が存在します。
Possible impacts	ModifyTicket パーミッションを持つリモート認証されたユーザにより、チケットを削除される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 22, 2013, midnight
Registration Date	Aug. 26, 2013, 3:40 p.m.
Last Update	Aug. 27, 2013, 3:07 p.m.

Affected System

Best Practical Solutions

Request Tracker 4.0.13 未満の 4.x

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2012-4733	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4733
National Vulnerability Database (NVD)
2	CVE-2012-4733	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4733

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-255	https://jvndb.jvn.jp/ja/cwe/CWE-255.html

ベンダー情報

No	Name	URL
Best Practical Solutions
1	[rt-announce] RT 4.0.13 released	http://lists.bestpractical.com/pipermail/rt-announce/2013-May/000227.html
2	[rt-announce] Security vulnerabilities in RT	http://lists.bestpractical.com/pipermail/rt-announce/2013-May/000226.html
Debian Security Advisory
3	DSA-2671	http://www.debian.org/security/2013/dsa-2671

Change Log

No	Changed Details	Date of change
0	[2013年08月26日] 掲載 [2013年08月27日] ベンダ情報：Debian (DSA-2671) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2012-4733

Summary	Request Tracker (RT) 4.x before 4.0.13 does not properly enforce the DeleteTicket and "custom lifecycle transition" permission, which allows remote authenticated users with the ModifyTicket permission to delete tickets via unspecified vectors.
Publication Date	Aug. 24, 2013, 1:55 a.m.
Registration Date	Jan. 28, 2021, 3:03 p.m.
Last Update	Nov. 21, 2024, 10:43 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://lists.bestpractical.com/pipermail/rt-announce/2013-May/000226.html	Vendor Advisory
2	http://lists.bestpractical.com/pipermail/rt-announce/2013-May/000226.html	Vendor Advisory
3	http://lists.bestpractical.com/pipermail/rt-announce/2013-May/000227.html	Patch
4	http://lists.bestpractical.com/pipermail/rt-announce/2013-May/000227.html	Patch
5	http://secunia.com/advisories/53522	Vendor Advisory
6	http://secunia.com/advisories/53522	Vendor Advisory
7	http://www.osvdb.org/93611
8	http://www.osvdb.org/93611

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-255	証明書・パスワード管理	https://cwe.mitre.org/data/definitions/255.html