Debian-Sicherheitsankündigung

DSA-161-1 mantis -- Privilegien-Erweiterung

Datum des Berichts:
04. Sep 2002
Betroffene Pakete:
mantis
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2002-1115, CVE-2002-1116.
Weitere Informationen:

Ein Problem mit Benutzer-Privilegien wurde im Mantis Paket entdeckt, einer PHP-basierenden Fehlerdatenbank. Das Mantis-System prüfte nicht, ob es einem Benutzer erlaubt ist, Fehler anzusehen, sondern zeigte sie einfach an, falls der Benutzer eine gültige Fehler-Nummer eingab.

Ein weiterer Fehler in Mantis hat die 'View Bugs' Seite dazu veranlasst, Fehler von sowohl öffentlichen als auch privaten Projekten anzuzeigen, wenn für den aktuellen Benutzer keine Projekte verfügbar sind.

Dieses Problem wurde in Version 0.17.1-2.5 für die aktuelle stable Distribution (Woody) und in Version 0.17.5-2 für die unstable Distribution (Sid) behoben. Die alte stable Distribution (Potato) ist nicht davon betroffen, da sie das mantis-Paket nicht enthält.

Zusätzliche Informationen:

Wir empfehlen Ihnen, Ihre mantis-Pakete zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.5.dsc
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.5.diff.gz
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.5_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.