Plusieurs problèmes de sécurité ont été découverts dans Mantis, un système de suivi des bogues par le web. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :
Une vulnérabilité de script intersite permettait à des attaquants d'injecter des scripts web ou du code HTML arbitraires.
Une vulnérabilité dans l'inclusion de fichier permettait à des attaquants distants d'exécuter du code PHP arbitraire et d'inclure des fichiers locaux arbitraires.
Une vulnérabilité d'injection de code SQL permettait à des attaquants distants d'exécuter des commandes SQL arbitraires.
Mantis pouvait être amené à afficher l'adresse réelle de courriel de ses utilisateurs, normalement conservée secrète.
L'ancienne distribution stable (Woody) n'est pas touchée par ces problèmes.
Pour l'actuelle distribution stable (Sarge), ces problèmes ont été corrigés dans la version 0.19.2-4.1.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 0.19.3-0.1.
Nous vous recommandons de mettre à jour votre paquet mantis.
Les hachés MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.