Debian セキュリティ勧告

DSA-778-1 mantis -- 入力のサニタイジング欠落

報告日時:
2005-08-19
影響を受けるパッケージ:
mantis
危険性:
あり
参考セキュリティデータベース:
(SecurityFocus の) Bugtraq データベース: BugTraq ID 14604.
Mitre の CVE 辞書: CVE-2005-2556, CVE-2005-2557, CVE-2005-3090.
詳細:

セキュリティ関連の問題が 2 件、ウェブベースのバグ追跡システム Mantis に発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

  • CAN-2005-2556

    リモートの攻撃者が特別に細工した URL を提供し、他からはアクセスできない可能性のある任意のホストの任意のポートをスキャンすることが可能です。

  • CAN-2005-2557

    リモートの攻撃者がバグ報告に任意の HTML コードを差し込み、 クロスサイトスクリプティングを起こすことが可能でした。

  • CAN-2005-3090

    リモートの攻撃者がバグ報告に任意の HTML コードを差し込み、 クロスサイトスクリプティングを起こすことが可能でした。

旧安定版 (old stable) ディストリビューション (woody) にはこの問題の影響はないようです。

安定版 (stable) ディストリビューション (sarge) では、この問題はバージョン 0.19.2-4 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 0.19.2-4 で修正されています。

直ちに mantis パッケージをアップグレードすることを勧めます。

修正:

Debian GNU/Linux 3.1 (sarge)

ソース:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.dsc
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.diff.gz
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2.orig.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。