Debians sikkerhedsbulletin

DSA-1133-1 mantis -- manglende kontrol af inddata

Rapporteret den:

1. aug 2006

Berørte pakker:

Sårbar:

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 361138, Fejl 378353.
I Mitres CVE-ordbog: CVE-2006-0664, CVE-2006-0665, CVE-2006-0841, CVE-2006-1577.

Yderligere oplysninger:

Flere fjernudnytbare sårbarheder er opdaget i fejlsporingssystemet Mantis, hvilket kunne føre til udførelse af vilkårlige webskripter. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:

CVE-2006-0664
En sårbarhed i forbindelse med udførelse af skripter på tværs af websteder (cross-site scripting), er opdaget i config_defaults_inc.php.
CVE-2006-0665
Sårbarheder i forbindelse med udførelse af skripter på tværs af websteder, er opdaget i query_store.php og manage_proj_create.php.
CVE-2006-0841
Flere sårbarheder i forbindelse med udførelse af skripter på tværs af websteder, er opdaget i view_all_set.php, manage_user_page.php, view_filters_page.php og proj_doc_delete.php.
CVE-2006-1577
Flere sårbarheder i forbindelse med udførelse af skripter på tværs af websteder, er opdaget i view_all_set.php.

I den stabile distribution (sarge) er disse problemer rettet i version 0.19.2-5sarge4.1.

I den ustabile distribution (sid) er disse problemer rettet i version 0.19.4-3.1.

Vi anbefaler at du opgraderer din mantis-pakke.

Rettet i:

Debian GNU/Linux 3.1 (sarge)

Kildekode:: http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge4.1.dsc; http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge4.1.diff.gz; http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2.orig.tar.gz
Arkitekturuafhængig komponent:: http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge4.1_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.