Bulletin d'alerte Debian

DSA-153-1 mantis -- Exécution de code arbitraire dans un script et non-respect des privilèges

Date du rapport :
14 août 2002
Paquets concernés :
mantis
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 5565, Identifiant BugTraq 5563, Identifiant BugTraq 5509, Identifiant BugTraq 5504, Identifiant BugTraq 5514, Identifiant BugTraq 5515, Identifiant BugTraq 5510.
Dans le dictionnaire CVE du Mitre : CVE-2002-1114, CVE-2002-1113, CVE-2002-1112, CVE-2002-1111, CVE-2002-1110.
Plus de précisions :

Joao Gouveia a découvert une variable non initialisée qui était utilisée sans précaution pour les inclusions de fichiers dans le paquets mantis, un système de suivi des bogues en php. L'équipe en charge de la sécurité a découvert d'autres problèmes de ce genre. Lorsque ces failles sont exploitées, un utilisateur distant a la possibilité d'exécuter un code arbitraire en utilisant l'identifiant du serveur web sur le serveur web qui héberge le système mantis.

Jeroen Latour a également rapporté qu'il est possible de renseigner Mantis pour uniquement montrer au rapporteur le bogue qu'il rapporte, en sélectionnant l'option limit_reporters. Cependant, lors de la génération de la sortie pour une impression, le programme ne contrôlait pas l'option limit_reporters et permettait ainsi au rapporteur du bogue de voir les résumés des bogues dont il n'était pas le rapporteur.

Jeroen Latour a découvert que la page chargée d'afficher la liste des bogues pour un projet particulier, ne contrôlait pas si les utilisateurs avait vraiment le droit d'y accéder ; cette autorisation est transmise par une variable stockée dans un cookie. Mantis considérait, à tord, que les seuls projets accessibles à l'utilisateur étaient listés dans le menu déroulant. Cela permet à un utilisateur malveillant d'afficher les bogues d'un projet privé.

Ces problèmes ont été corrigés dans les version 0.17.1-2.2 pour l'actuelle distribution stable (Woody) et dans la version 0.17.4a-2 pour la distribution unstable (Sid). L'ancienne distribution stable (Potato) n'est pas concernée, étant donné qu'elle ne contient pas le paquet mantis.

Informations complémentaires :

Nous vous recommandons de mettre à jour vos paquets mantis immédiatement.

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2.dsc
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2.diff.gz
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.