Debians sikkerhedsbulletin

DSA-153-1 mantis -- "cross site"-udførelse af kode

Rapporteret den:
14. aug 2002
Berørte pakker:
mantis
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 5565, BugTraq-id 5563, BugTraq-id 5509, BugTraq-id 5504, BugTraq-id 5514, BugTraq-id 5515, BugTraq-id 5510.
I Mitres CVE-ordbog: CVE-2002-1114, CVE-2002-1113, CVE-2002-1112, CVE-2002-1111, CVE-2002-1110.
Yderligere oplysninger:

Joao Gouveia har opdaget en uninitialiseret variabel som blev anvendt usikkert med fil-indbefatninger i pakken mantis, et PHP-baseret fejlhåndteringssystem. Debians sikkerhedsteam fandt flere lignende problemer. Når disse tilfælde udnyttes, kan en fjern-bruger udføre vilkårlig kode under webserverens bruger-id på den webserver som mantis er installeret på.

Jeroen Latour har opdaget at Mantis ikke kontrollerede alle en brugers inddata, specielt hvis de ikke kommer direkte fra formularfelter. Dette åber for en hel række SQL-forgiftningssårbarheder på systemer hvor magic_quotes_gpc ikke er slået til. De fleste af disse sårbarheder kan kun udnyttes i begrænset omfang, da det ikke længere er muligt at udføre flere forespørgsler ved hjælp af et kald til mysql_query(). Der er en forespørgsel som kan snydes til at ændre en kontos adgangsniveau.

Jeroen Latour fortæller også at det er muligt at få Mantis til kun at vise rapportører de fejl, de har rapporteret, ved at sætte indstillingen limit_reporters til ON. Dog kontrollerede programmet ikke indstillingen limit_reporters når uddata blev formateret så de kunne udskrives, og gav dermed rapportører mulighed for at se et resume af fejl som de ikke har rapporteret.

Jeroen Latour opdagede at siden der sørger for at vise en liste over fejl i et bestemt projekt, ikke kontrollerer hvorvidt brugeren rent faktisk har adgang til projektet, som overføres i en cookie-variabel. Ved en fejl stolede programmet på det faktum, at kun projekter som brugeren har adgang til blev anført i en drop-down-menu. Dette giver en ondsindet bruger mulighed for at vise fejl i private projekter.

Disse problemer er rettet i version 0.17.1-2.2 i den aktuelle stabile distribution (woody) og i version 0.17.4a-2 i den ustabile distribution (sid). Den gamle stabile distribution (potato) er ikke påvirket, da den ikke indeholder mantis-pakken.

Yderligere oplysninger:

Vi anbefaler at du omgående opgraderer dine mantis-pakker.

Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2.dsc
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2.diff.gz
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.