Рекомендация Debian по безопасности

DSA-1856-1 mantis -- утечка информации

Дата сообщения:
08.08.2009
Затронутые пакеты:
mantis
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 425010.
Более подробная информация:

Было обнаружено, что Debian-пакет Mantis, система отслеживания ошибок на основе веб, устанавливает данные учётной записи для работы с базой данных в файл на локальной файловой системе, открытый для чтения всем пользователям. Это позволяет локальным пользователям получить данные учётной записи, используемой для управления базой данных Mantis.

Обновлённый пакет исправляет эту проблему для новых установок, также будет предпринята осторожная попытка обновления существующей установки. Администраторы могут проверить права доступа к файлу /etc/mantis/config_db.php, чтобы убедиться, что для их окружения проблема решена.

В предыдущем стабильном выпуске (etch) пакет mantis отсутствует.

В стабильном выпуске (lenny) эта проблема была исправлена в версии 1.1.6+dfsg-2lenny1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.1.8+dfsg-2.

Рекомендуется обновить пакет mantis.

Исправлено в:

Debian GNU/Linux 5.0 (lenny)

Исходный код:
http://security.debian.org/pool/updates/main/m/mantis/mantis_1.1.6+dfsg.orig.tar.gz
http://security.debian.org/pool/updates/main/m/mantis/mantis_1.1.6+dfsg-2lenny1.dsc
http://security.debian.org/pool/updates/main/m/mantis/mantis_1.1.6+dfsg-2lenny1.diff.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/m/mantis/mantis_1.1.6+dfsg-2lenny1_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.