Guia definitivo de segurança para Request Tracker 5: Como corrigir vulnerabilidades críticas e proteger seu servidor Linux para sempre

 

Proteja seu servidor Linux contra falhas de segurança no Request Tracker 5. Guia completo com comandos reais, script de correção automática, mitigação alternativa e recomendações de hardening. Atualize hoje e evite vazamento de dados.

Servidores Linux não são apenas sobre "instalar e esquecer". Um sistema de tickets como o Request Tracker (RT5) é a base do suporte de muitas empresas. Uma falha de segurança nessa ferramenta pode comprometer dados confidenciais de clientes e operações inteiras.

Recentemente, foram descobertas vulnerabilidades no Request Tracker que expõem sistemas a ataques de injeção SQL e bypass de autenticação — sim, um invasor pode acessar sua central de suporte sem precisar de senha.

Neste guia, você vai aprender não apenas a identificar se seu servidor está vulnerável, mas também um passo a passo prático para corrigir o problema e deixar sua infraestrutura preparada para o futuro.

O que aconteceu e por que isso ainda é relevante

Em junho de 2026, a Debian lançou um aviso de segurança urgente (DSA-6324-1) para o Request Tracker 5. As falhas permitiam:

• Injeção de SQL (CVE-2026-41075): usuários autenticados podiam ler ou modificar dados do banco de dados;

• Bypass de autenticação via LDAP (CVE-2026-41076): ataques utilizando senha vazia ou certas configurações do servidor LDAP para autenticação;

• XSS Refletido (CVE-2026-6841) e Injeção CSV (CVE-2026-41073).

Versões vulneráveis: RT 5.0.0 até 5.0.9 e RT 6.0.0 até 6.0.2.

Se você ainda usa uma dessas versões, seus dados de clientes, tickets e até mesmo sua infraestrutura inteira podem estar em risco. Corrigir isso não é apenas uma atualização; é uma necessidade.

Como verificar se você está vulnerável (Debian/Ubuntu)

Antes de qualquer ação, confirme se seu sistema está vulnerável. Abra um terminal no seu servidor e execute os comandos abaixo.

1. Verifique a versão instalada

bash

dpkg -l | grep request-tracker5

A saída mostrará algo como:

text

ii  request-tracker5   5.0.3+dfsg-3~deb12u5   amd64   extensible trouble-ticket tracking system

2. Compare com as versões corrigidas

Se a versão for anterior a:

• Debian Bookworm (oldstable): 5.0.3+dfsg-3~deb12u6;

• Debian Trixie (stable): 5.0.7+dfsg-4+deb13u3.

Então seu sistema está vulnerável.

3. Verificação mais detalhada com dpkg-query

bash

dpkg-query -W -f='${Package} ${Version}\n' | grep request-tracker5

4. Se você usa Ubuntu, consulte a versão e compare com:

Ubuntu 22.04 LTS: versão corrigida 5.0.7+dfsg-2ubuntu0.1.

5. Para servidores em produção, verifique o status do serviço:

bash

systemctl status request-tracker

---

📗  Recomendação de Leitura

Segurança em servidores Linux: Ataque e Defesa  (anúncio) -> https://amzn.to/3PLLsXX

Se você prefere estudar em português e quer aprender a "pensar como um hacker" para se antecipar a invasões, essa é a pedida! O livro ensina a usar as ferramentas prediletas dos invasores (como Nmap e Netcat) a seu favor, blindando seus sistemas.

Eu ganho uma comissão quando você faz uma compra.

Mitigação alternativa (se você não pode atualizar agora)

Se a atualização não for imediata, implemente estas barreiras de proteção:

1. Restrição de acesso via iptables

Limite o acesso ao RT apenas para IPs confiáveis:

bash

# Permite apenas a rede interna 192.168.1.0/24
sudo iptables -A INPUT -p tcp --dport 80 -s 192.168.1.0/24 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j DROP

# Para HTTPS (443):
sudo iptables -A INPUT -p tcp --dport 443 -s 192.168.1.0/24 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j DROP

Para tornar persistente após reboot:

bash

sudo apt install iptables-persistent
sudo netfilter-persistent save

2. Hardening com AppArmor

Crie um perfil restritivo para o RT:

bash

sudo aa-genprof request-tracker

Siga as instruções na tela para gerar um perfil personalizado. Em seguida, coloque o perfil em modo de reclamação e depois em enforced.

3. Proxy reverso autenticado

Configure um proxy reverso com autenticação básica usando Nginx:

nginx

server {
    listen 80;
    server_name seu-dominio.com;

    location /rt {
        auth_basic "Restrito";
        auth_basic_user_file /etc/nginx/.htpasswd;
        proxy_pass http://localhost:80;
        proxy_set_header Host $host;
    }
}

Crie o arquivo de senhas:

bash

sudo htpasswd -c /etc/nginx/.htpasswd usuario

4. Monitoramento intensivo

Monitore logs em tempo real:

bash

tail -f /var/log/apache2/access.log | grep -E "(union|select|exec|xp_cmdshell)"

---

Conclusão

Vulnerabilidades em sistemas de ticket não são apenas "problemas de TI" — são portas abertas para vazamento de dados de clientes e perda de credibilidade. O Request Tracker 5, mesmo sendo uma ferramenta consolidada, exige atenção constante.

A atualização para as versões corrigidas (5.0.10 ou 6.0.3) elimina completamente as falhas descritas. Enquanto isso não for possível, as mitigações apresentadas — como restrição de IPs e hardening via AppArmor — criam camadas extras de segurança.

Lembre-se: segurança não é um destino, mas um processo contínuo. Manter seus pacotes atualizados e monitorar logs são práticas que valem a pena.

---