Säkerhetsbulletin från Debian

DSA-905-1 mantis -- flera sårbarheter

Rapporterat den:

2005-11-22

Berörda paket:

Sårbara:

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 330682, Fel 335938.
I Mitres CVE-förteckning: CVE-2005-3091, CVE-2005-3335, CVE-2005-3336, CVE-2005-3338, CVE-2005-3339.

Ytterligare information:

Flera säkerhetsrelaterade problem har upptäckts i Mantis, ett webbaserat felrapporteringssystem. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

CVE-2005-3091
En serveröverskridande skriptsårbarhet gör det möjligt för angripare att injicera godtyckliga webbskript eller HTML.
CVE-2005-3335
En sårbar filinkluderieng gör det möjligt för angripare utifrån att exekvera godtycklig PHP-kod och inkludera godtyckliga lokala filer.
CVE-2005-3336
En Sårbar SQL-injicering gör det möjligt för angripare utifrån att exekvera godtyckliga SQL-kommandon.
CVE-2005-3338
Mantis kan luras att visa en i övrigt dold äkta e-postadress för en användare.

Den gamla stabila utgåvan (Woody) påverkas inte av dessa problem.

För den stabila utgåvan (Sarge) har dessa problem rättats i version 0.19.2-4.1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 0.19.3-0.1.

Vi rekommenderar att ni uppgraderar ert mantis-paket.

Rättat i:

Debian GNU/Linux 3.1 (sarge)

Källkod:: http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.1.dsc; http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.1.diff.gz; http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2.orig.tar.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.1_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.