Aviso de seguridad de Debian

DSA-153-1 mantis -- ejecución de código en el sitio

Fecha del informe:
14 de ago de 2002
Paquetes afectados:
mantis
Vulnerable:
Referencias a bases de datos de seguridad:
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 5565, Id. en BugTraq 5563, Id. en BugTraq 5509, Id. en BugTraq 5504, Id. en BugTraq 5514, Id. en BugTraq 5515, Id. en BugTraq 5510.
En el diccionario CVE de Mitre: CVE-2002-1114, CVE-2002-1113, CVE-2002-1112, CVE-2002-1111, CVE-2002-1110.
Información adicional:

Joao Gouveia descubrió una variable no inicializada que se usaba de forma insegura con las inclusiones de archivos en el paquete mantis, un sistema de seguimiento de errores basado en php. El equipo de seguridad de Debian encontró también más problemas similares. Cuando estas oportunidades eran explotadas, un usuario remoto podía ser capaz de ejecutar código arbitrario bajo el id de usuario del servidor web en el servidor web que albergara el sistema mantis.

Jeroen Latour descubrió que Mantis no comprobaba todas las entradas de usuario, especialmente si no venían directamente de campos del formulario. Esto permite una amplia variedad de vulnerabilidades de SQL envenenado en sistemas sin magic_quotes_gpc activado. La mayoría de estas vulnerabilidades sólo se pueden explotar de una forma limitada, porque no es posible ejecutar múltiples consultas usando una llamada a mysql_query(). Hay una consulta que se puede modificar para cambiar el nivel de acceso de una cuenta.

Jeroen Latour también informó de que es posible instruir a Mantis para que muestre a los que informan sólo los errores de los que han informado, fijando la opción limit_reporters a ON. Sin embargo, al formatear la salida y ajustarla para impresión, el programa no comprobaba la opción limit_reporters y, por tanto, se permitía a los que informaban ver resúmenes de los errores de los que no habían informado.

Jeroen Latour descubrió que en la página responsable de mostrar una lista de errores en un proyecto particular no se comprobaba si el usuario tenía realmente acceso al proyecto, lo que se transmitía en una variable de cookie. Sin querer, se confiaba en el hecho de que sólo se listaban en el menú desplegable los proyectos accesibles por el usuario. Esto le daba a un usuario malvado una oportunidad de mostrar los errores de un proyecto privado seleccionado.

Estos problemas se han corregido en la versión 0.17.1-2.2 para la distribución estable actual (woody) y en la versión 0.17.4a-2 para la distribución inestable (sid). La distribución estable anterior (potato) no se ve afectada porque no contiene el paquete mantis.

Información adicional:

Le recomendamos que actualice los paquetes de mantis inmediatamente.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2.dsc
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2.diff.gz
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1.orig.tar.gz
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2_all.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.