Request Tracker 任意文件覆盖漏洞(CVE-2013-3368)

文章由LinuxBoy分享于2019-04-02 03:04:52热评（652）

Request Tracker 任意文件覆盖漏洞(CVE-2013-3368)

发布日期：2013-05-22
更新日期：2013-05-26

受影响系统：
bestpractical RT 4.0.6
bestpractical RT 4.0.10
bestpractical RT 4.0
bestpractical RT 3.8.9
bestpractical RT 3.8.8
bestpractical RT 3.8.6
bestpractical RT 3.8.5
bestpractical RT 3.8.4
bestpractical RT 3.8.2
bestpractical RT 3.8.12
bestpractical RT 3.8.11
bestpractical RT 3.8.10
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 60091
CVE(CAN) ID: CVE-2013-3368

Request Tracker是问题跟踪系统，用于bug跟踪、客户服务、工作流处理、更改管理、网络操作、青年辅导等。

Request Tracker 3.8.0及以上版本里的bin/rt创建临时文件时使用了可以推测的文件名，恶意用户可利用此漏洞覆盖任意文件。

<*来源：vendor

链接：http://lists.bestpractical.com/pipermail/rt-announce/2013-May/000226.html
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

bestpractical
-------------
bestpractical已经为此发布了一个安全公告（000226）以及相应补丁:
000226：Security vulnerabilities in RT
链接：http://lists.bestpractical.com/pipermail/rt-announce/2013-May/000226.html

推荐文章：

Request Tracker 任意文件覆盖漏洞(CVE-2013-3368)