Debians sikkerhedsbulletin

DSA-1133-1 mantis -- manglende kontrol af inddata

Rapporteret den:
1. aug 2006
Berørte pakker:
mantis
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 361138, Fejl 378353.
I Mitres CVE-ordbog: CVE-2006-0664, CVE-2006-0665, CVE-2006-0841, CVE-2006-1577.
Yderligere oplysninger:

Flere fjernudnytbare sårbarheder er opdaget i fejlsporingssystemet Mantis, hvilket kunne føre til udførelse af vilkårlige webskripter. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:

  • CVE-2006-0664

    En sårbarhed i forbindelse med udførelse af skripter på tværs af websteder (cross-site scripting), er opdaget i config_defaults_inc.php.

  • CVE-2006-0665

    Sårbarheder i forbindelse med udførelse af skripter på tværs af websteder, er opdaget i query_store.php og manage_proj_create.php.

  • CVE-2006-0841

    Flere sårbarheder i forbindelse med udførelse af skripter på tværs af websteder, er opdaget i view_all_set.php, manage_user_page.php, view_filters_page.php og proj_doc_delete.php.

  • CVE-2006-1577

    Flere sårbarheder i forbindelse med udførelse af skripter på tværs af websteder, er opdaget i view_all_set.php.

I den stabile distribution (sarge) er disse problemer rettet i version 0.19.2-5sarge4.1.

I den ustabile distribution (sid) er disse problemer rettet i version 0.19.4-3.1.

Vi anbefaler at du opgraderer din mantis-pakke.

Rettet i:

Debian GNU/Linux 3.1 (sarge)

Kildekode:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge4.1.dsc
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge4.1.diff.gz
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge4.1_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.