Säkerhetsbulletin från Debian

DSA-1133-1 mantis -- städar inte indata

Rapporterat den:
2006-08-01
Berörda paket:
mantis
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 361138, Fel 378353.
I Mitres CVE-förteckning: CVE-2006-0664, CVE-2006-0665, CVE-2006-0841, CVE-2006-1577.
Ytterligare information:

Flera utifrån nåbara sårbarheter har upptäckts i felrapporteringssystemet Mantis, vilka kunde leda till exekvering av godtyckliga webbskript. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2006-0664

    En serveröverskridande skriptsårbarhet har upptäckts i config_defaults_inc.php.

  • CVE-2006-0665

    Serveröverskridande skriptsårbarheter har upptäckts i query_store.php och manage_proj_create.php.

  • CVE-2006-0841

    Flera serveröverskridande skriptsårbarheter har upptäckts i view_all_set.php, manage_user_page.php, view_filters_page.php och proj_doc_delete.php.

  • CVE-2006-1577

    Flera serveröverskridande skriptsårbarheter har upptäckts i view_all_set.php.

För den stabila utgåvan (Sarge) har dessa problem rättats i version 0.19.2-5sarge4.1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 0.19.4-3.1.

Vi rekommenderar att ni uppgraderar ert mantis-paket.

Rättat i:

Debian GNU/Linux 3.1 (sarge)

Källkod:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge4.1.dsc
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge4.1.diff.gz
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge4.1_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.