Debian-Sicherheitsankündigung

DSA-153-1 mantis -- Site-übergreifende Code-Ausführung und Privilegien-Erweiterung

Datum des Berichts:
14. Aug 2002
Betroffene Pakete:
mantis
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 5565, BugTraq ID 5563, BugTraq ID 5509, BugTraq ID 5504, BugTraq ID 5514, BugTraq ID 5515, BugTraq ID 5510.
In Mitres CVE-Verzeichnis: CVE-2002-1114, CVE-2002-1113, CVE-2002-1112, CVE-2002-1111, CVE-2002-1110.
Weitere Informationen:

Joao Gouveia entdeckte eine nicht initialisierte Variable, die für Datei-Inkludierungen im mantis-Paket unsicher verwendet wurde, einer PHP-basierenden Fehlerdatenbank. Das Debian Sicherheitsteam hat sogar weitere ähnliche Probleme gefunden. Wenn diese Fälle ausgenutzt werden, ist es einem entfernten Benutzer möglich, willkürlichen Code mit der Benutzer-ID des Webservers auf dem Rechner auszuführen, auf dem das Mantis-System läuft.

Jeroen Latour hat entdeckt, dass Mantis nicht alle Benutzereingaben prüft, speziell wenn diese nicht direkt aus Formular-Feldern kommen. Dies öffnet eine breite Vielfalt an SQL-Vergiftungs-Verwundbarkeiten auf Systemen, die magic_quotes_gpc aktiviert haben. Viele dieser Verwundbarkeiten sind nur in einer beschränkten Art ausnutzbar, da es nicht mehr möglich ist, mehrfache Anfragen mit einem einzelnem mysql_query() Aufruf auszuführen. Es gibt eine Abfrage, die ausgetrickst werden kann, um den Zugriffslevel eines Accounts zu ändern.

Jeroen Latour berichtete ebenfalls, dass es möglich ist, Mantis anzuweisen, Einreicher nur die Fehler anschauen zu lassen, die sie selbst berichtet haben, indem die limit_reporters Option auf ON gesetzt wird. Jedoch hat das Programm die limit_reporters Option nicht überprüft, wenn es die Ausgabe zum Drucken aufbereitet hat, und es daher Einreichern erlaubt, Zusammenfassungen von Fehlern zu sehen, die sie nicht selbst berichtet haben.

Jeroen Latour entdeckte, dass die Seite, die für die Anzeige der Fehler in einem bestimmten Projekt zuständig ist, nicht prüft, ob der Benutzer tatsächlich Zugriff auf das Projekt hat, das über eine Cookie-Variable übergeben wird. Es vertraute versehentlich auf die Tatsache, dass nur Projekte im Drop-Down Menü angezeigt werden, auf die der Benutzer Zugriff hat. Dies bietet einem böswilligem Benutzer die Möglichkeit, sich die Fehler eines privaten ausgewähltem Projekts anzusehen.

Diese Probleme wurden in Version 0.17.1-2.2 für die aktuelle stable Distribution (Woody) und in Version 0.17.4a-2 für die unstable Distribution (Sid) behoben. Die alte stable Distribution (Potato) ist davon nicht betroffen, da sie das mantis-Paket nicht enthält.

Zusätzliche Informationen:

Wir empfehlen Ihnen, Ihre mantis-Pakete unverzüglich zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2.dsc
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2.diff.gz
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.