Alerta de Segurança Debian

DSA-153-1 mantis -- execução de código cross site e escalagem de privilégios

Data do Alerta:
14 Ago 2002
Pacotes Afetados:
mantis
Vulnerável:
Sim
Referência à base de dados de segurança:
Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 5565, ID BugTraq 5563, ID BugTraq 5509, ID BugTraq 5504, ID BugTraq 5514, ID BugTraq 5515, ID BugTraq 5510.
No dicionário CVE do Mitre: CVE-2002-1114, CVE-2002-1113, CVE-2002-1112, CVE-2002-1111, CVE-2002-1110.
Informações adicionais:

O Joao Gouveia descobriu uma variável não inicializada que é usada inseguramente com inclusão de arquivos no pacote mantis, um sistema bug tracking baseado em php. O Time de Segurança Debian encontrou mais problemas similares. Quando isso é explorado, um usuário remoto fica apto a executar código arbitrário sobre o usuário do servidor web que está hospedando o sistema mantis.

O Jeroen Latour descobriu o Mantis não checa todas as entradas do usuário, especialmente se elas não vêem diretamente de formulários. Isso abre inúmeras vulnerabilidades SQL em sistemas sem magic_quotes_gpc habilitado. Muitas dessas vulnerabilidades somente são exploráveis de uma forma limitada, uma vez que não se pode executar múltiplas queries usando uma única chamada ao mysql_query(). Há uma query que pode ser enganada para mudar o nível de acesso da conta.

O Jeroen também reportou que é possível instruir o Mantis para exibir às pessoas que estão relatando erros, somente relatórios que eles informaram, ao configurar a opção limit_reporters como ON. De qualquer forma, ao formatar a saída para impressão, o programa não checa a opção limit_reporters e isso permite que sumários de erros seja visualizados por outros, além de seus donos.

Uma outra falha descoberta por Jeroen Latour é que a página responsável por exibir uma lista de erros de um projeto particular, não checa se atualmente o usuário tem acesso ao projeto, o que é transmitido por uma variável cookie. Essa confia, acidentalmente, que o projeto esteja acessível para o usuário listado no menu drop-down. Isso dá a um usuário malicioso a oportunidade de exibir as falhas de um projeto privado selecionado.

Esses problemas foram corrigidos na versão 0.17.1-2.2 para a atual distribuição estável (woody) e na versão 0.17.4a-2 para a distribuição instável (sid). A antiga distribuição estável (potato) não foi afetada, uma vez que não contém o pacote mantis.

Informações Adicionais:

Nós recomendamos que você atualize seus pacotes mantis imediatamente.

Corrigido em:

Debian GNU/Linux 3.0 (woody)

Fonte:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2.dsc
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2.diff.gz
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1.orig.tar.gz
Componente independente de arquitetura:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2_all.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.