Bulletin d'alerte Debian
DSA-1467-1 mantis -- Plusieurs vulnérabilités
- Date du rapport :
- 19 janvier 2008
- Paquets concernés :
- mantis
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 402802, Bogue 458377.
Dans le dictionnaire CVE du Mitre : CVE-2006-6574, CVE-2007-6611. - Plus de précisions :
-
Plusieurs vulnérabilités é distance ont été découvertes dans Mantis, un système de suivi des bogues basé sur la toile. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :
- CVE-2006-6574
Des champs personnalisés ne sont pas correctement protégés par un contrôle d'accès au niveau des objets. Cela permet la publication de données sensibles.
- CVE-2007-6611
Plusieurs problèmes de scripts intersites permettent à un attaquant distant d'insérer du HTML ou des scripts malveillants dans des pages de Mantis.
Pour l'ancienne distribution stable (Sarge), ces problèmes ont été corrigés dans la version 0.19.2-5sarge5.
Pour la distribution stable (Etch) n'est pas affectée.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 1.0.8-4.
Nous vous recommandons de mettre à jour votre paquet mantis.
- CVE-2006-6574
- Corrigé dans :
-
Debian GNU/Linux 3.1 (sarge)
- Source :
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge5.dsc
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge5.diff.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2.orig.tar.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge5_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.