Bacheca Debian sulla sicurezza

DSA-161-1 mantis -- acquisizione di privilegi

Data della segnalazione:
04 set 2002
Pacchetti coinvolti:
mantis
Vulnerabile:
Referenze all'interno del database della sicurezza:
Nel dizionario CVE di Mitre: CVE-2002-1115, CVE-2002-1116.
Maggiori informazioni:

È stato scoperto un problema riguardo i privilegi utente all'interno del pacchetto Mantis, un sistema di gestione dei bug in PHP. Il sistema Mantis non verificava se un utente avesse i permessi per vedere un mcerto bug, ma passava direttamente alla pagina di visualizzazione nel caso che l'utente avesse inserito un id valido.

Un altro bug in Mantis faceva sì che la pagina 'View Bugs' mostrasse sia l'elenco di quelli relativi a progetti privati che quelli pubblici nel caso in cui non ci fosse alcun progetto accessibile all'utente corrente.

Questi problemi sono stati corretti nella versione 0.17.1-2.5 per la attuale distribuzione stable (woody) e nella versione 0.17.5-2 per la sitribuzione unstable (sid). La vecchia distribuzione stable (potato) non è affetta poiché non contiene il pacchetto mantis.

Maggiori informazioni:

Suggeriamo di aggiornare i propri pacchetti mantis.

Risolto in:

Debian GNU/Linux 3.0 (woody)

Sorgente:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.5.dsc
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.5.diff.gz
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1.orig.tar.gz
Componente indipendente dall'architettura:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.5_all.deb

Somma di controllo MD5 per i file in elenco disponibile nella notizia originale.