Debian セキュリティ勧告

DSA-161-1 mantis -- 権限の昇格

報告日時:
2002-09-04
影響を受けるパッケージ:
mantis
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2002-1115, CVE-2002-1116.
詳細:

ユーザの権限に関する問題が、Mantis (PHP ベースのバグ追跡システム) パッケージに発見されました。 Mantis システムは、ユーザがバグを見ることが許可されているかどうかを チェックせず、ユーザが有効なバグ ID を入力すると当該バグを即座に 表示してしまいます。

Mantis のもう一つのバグにより、接続中のユーザからアクセス可能な プロジェクトがない場合に、'View Bugs' ページに公開および非公開の プロジェクトのバグが表示されてしまっていました。

これらの問題は、現安定版 (stable)(woody) ではバージョン 0.17.1-2.5 で、 不安定版 (unstable)(sid) ではバージョン 0.17.5-2 で 各々修正されています。 旧安定版 (potato) は mantis パッケージを収録していないので、 影響を受けません。

さらなる情報:

mantis パッケージをアップグレードすることをお勧めします。

修正:

Debian GNU/Linux 3.0 (woody)

ソース:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.5.dsc
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.5.diff.gz
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1.orig.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.5_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。