Bacheca Debian sulla sicurezza
DSA-153-1 mantis -- esecuzione di codice su altri siti
- Data della segnalazione:
- 14 ago 2002
- Pacchetti coinvolti:
- mantis
- Vulnerabile:
- Sì
- Referenze all'interno del database della sicurezza:
- Nel database Bugtraq (presso SecurityFocus): Numero del bug 5565, Numero del bug 5563, Numero del bug 5509, Numero del bug 5504, Numero del bug 5514, Numero del bug 5515, Numero del bug 5510.
Nel dizionario CVE di Mitre: CVE-2002-1114, CVE-2002-1113, CVE-2002-1112, CVE-2002-1111, CVE-2002-1110. - Maggiori informazioni:
-
Joao Gouveia ha scoperto che una variabile non inizializzata viene utilizzata per l'inclusione di un file dal pacchetto mantis, un sistema per il tracciamento dei bug in php. Il team Debian della sicurezza ha trovato altri problemi simili. Se queste occasioni venissero sfruttate, un utente rempoto potrebbe eseguire un codice arbitrario con l'utente del webserver sulla macchina sulla quale mantis è eseguito.
Jeroen Latour ha fatto notare che abbiamo dimenticato una variabile non inizializzata nel DSA 153-1, che è utilizzata in maniera insicura con l'inclusione di file nel pacchetto Mantis, un sistema per il tracciamento dei bug basato sul php. Quando tali occasioni vengono sfruttate, un utente remoto è abilitato all'esecuzione di un codice arbitrario sotto l'id dell'utente del webserver sullo stesso web server che ospita il sistema mantis.
Jeroen Latour ha scoperto che Mantis non verificava tutti gli input dell'utente, in particolare se questi non arrivassero da form field. Questo apre tutta una serie di grandi vulnerabilità SQL su sistemi senza il magic_quotes_gpc abilitato. La maggior parte di queste vulnerabilità non permette grandi attacchi, poiché non è più possibile eseguire interrogazioni multiple usando la sola chiamata mysql_query(). C'è una query che può essere modificata per cambiare il livello di accesso di un account.
Jeroen Latour ha anche riportato che è possibile istruire Mantis a mostrare ai segnalatori i soli bug che essi hanno segnalato, mettendo l'opzione limit_reporters a ON. In ogni caso quando il programma doveva mostrare l'output non verificava l'opzione limit_reporters e quindi permetteva di vedere anche i bug segnalati da altri.
Jeroen Latour ha scoperto che la pagina che elenca i bug in un progetto non verificava se l'utente avesse accesso a quel progetto, che è trasmesso da una variabile cookie. Invece assumeva che tutti i progetti mostrati nel menu a scomparsa fossero accessibili all'utente. Questo permetteva ad un utente malizioso di vedere anche i bug di progetti privati selezionati.
Questi problemi sono stati risolti nella versione 0.17.1-2.2 per la distribuzione stable corrente (woody) e la versione 0.17.4a-2 per la Distribuzione unstable (sid). La vecchia stable (potato) non ne è affetta in quanto non contiene il pacchetto mantis.
Additional information:
- Mantis Advisory/2002-01
- Mantis Advisory/2002-02
- Mantis Advisory/2002-03
- Mantis Advisory/2002-04
- Mantis Advisory/2002-05
Suggeriamo di aggiornare il pacchetto mantis immediatamente.
- Risolto in:
-
Debian GNU/Linux 3.0 (woody)
- Sorgente:
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2.dsc
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2.diff.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2.diff.gz
- Componente indipendente dall'architettura:
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2_all.deb
Somma di controllo MD5 per i file in elenco disponibile nella notizia originale.