Bulletin d'alerte Debian

DSA-335-1 mantis -- Permissions incorrectes

Date du rapport:

28 juin 2003

Paquets concernés:

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identificateur BugTraq 8059.
Dans le dictionnaire CVE du Mitre : CVE-2003-0499.

Pour plus d'information:

mantis, un système web de traçabilité de bogues basé sur PHP/MySQL, enregistre le mot de passe utilisé pour accéder à sa base de données dans un fichier de configuration qui est en accès pour tout le monde. Ceci pouvait permettre à un attaquant local de lire le mot de passe et d'obtenir un accès en lecture/écriture sur la base de données.

Pour la distribution stable (Woody), ce problème a été corrigé dans la version 0.17.1-3.

L'ancienne distribution stable (Potato) ne contient pas le paquet mantis.

Pour la distribution instable (Sid), ce problème a été corrigé dans la version 0.17.5-6.

Nous vous recommandons de mettre à jour votre paquet mantis.

Corrigé dans:

Debian GNU/Linux 3.0 (woody)

Source :: http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3.dsc; http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3.diff.gz; http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1.orig.tar.gz
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.