Un problème avec les privilèges d'utilisateur a été découvert dans le paquet Mantis, un système traçage de bogue en PHP. Le système Mantis ne vérifie pas si l'utilisateur à le droit ou pas de regarder le bogue mais affiche directement si l'utilisateur connaît le numéro du bogue.
Un autre bogue dans Mantis permet à la page View Bugs de lister tous les bogues de projets publics et privés quand aucun project est accessible pour l'utilisateur demandeur.
Ces problèmes n'existent plus dans la version 0.17.1-2.5 pour l'actuelle distribution stable (woody) et dans celle 0.17.5-2 pour la distribution instable (sid). L'ancienne distribution stable (potato) n'est pas affecté car elle ne contient pas le paquet mantis.
Informations supplémentaires:
Nous vous recommandons de mettre à jour vos paquets mantis.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.