Bulletin d'alerte Debian

DSA-1133-1 mantis -- Vérification d'entrée manquante

Date du rapport :
1er août 2006
Paquets concernés :
mantis
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 361138, Bogue 378353.
Dans le dictionnaire CVE du Mitre : CVE-2006-0664, CVE-2006-0665, CVE-2006-0841, CVE-2006-1577.
Plus de précisions :

Plusieurs vulnérabilités distantes ont été découvertes dans le système de suivi des bogues Mantis, elles pourraient conduire à l'exécution d'un script web arbitraire. Le projet des expositions et vulnérabilités communes identifie les problèmes suivants :

  • CVE-2006-0664

    Une vulnérabilité de script intersite session a été découverte dans config_defaults_inc.php.

  • CVE-2006-0665

    Des vulnérabilités de script intersite ont été découvertes dans query_store.php et dans manage_proj_create.php.

  • CVE-2006-0841

    Plusieurs vulnérabilités de script intersite ont été découvertes dans view_all_set.php, manage_user_page.php, view_filters_page.php et proj_doc_delete.php.

  • CVE-2006-1577

    Plusieurs vulnérabilités de script intersite ont été découvertes dans view_all_set.php.

Pour la distribution stable (Sarge), ce problème a été corrigé dans la version 0.19.2-5sarge4.1.

Pour la distribution instable (Sid), ce problème a été corrigé dans la version 0.19.4-3.1.

Nous vous recommandons de mettre à jour votre paquet mantis.

Corrigé dans :

Debian GNU/Linux 3.1 (sarge)

Source :
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge4.1.dsc
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge4.1.diff.gz
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge4.1_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.