Debian セキュリティ勧告

DSA-153-1 mantis -- クロスサイトスクリプティングと権限の昇格

報告日時:
2002-08-14
影響を受けるパッケージ:
mantis
危険性:
あり
参考セキュリティデータベース:
(SecurityFocus の) Bugtraq データベース: BugTraq ID 5565, BugTraq ID 5563, BugTraq ID 5509, BugTraq ID 5504, BugTraq ID 5514, BugTraq ID 5515, BugTraq ID 5510.
Mitre の CVE 辞書: CVE-2002-1114, CVE-2002-1113, CVE-2002-1112, CVE-2002-1111, CVE-2002-1110.
詳細:

Joao Gouveia さんにより、mantis (php をベースにしたバグトラッキング システム) で、初期化されない変数が、ファイルを包含する際に安全でない方法で 使用されているという問題が発見されました。 Debian セキュリティチームは、さらに似たような問題を発見しました。 この弱点を突けば、リモートのユーザは、mantis システムを動かしている サーバ上で、ウェブサーバのユーザ権限で任意のコードを実行することが できてしまいます。

Jeroen Latour さんにより、Mantis で全てのユーザ入力がチェックできていない (特に入力が直接 form フィールドから来ない場合に) 問題が発見されました。 この問題は、magic_quotes_gpc を有効にしていないシステムでは様々な SQL 汚染問題への可能性を開くものです。このうち殆どの脆弱性は、一回の mysql_query() の呼び出しで複数のクエリを実行することができないように変更されているため、限られたやり方での攻撃を許すだけですが、 うち一つのクエリがアカウントのアクセスレベルの変更に悪用可能です。

Jeroen Latour さんにより、Mantis に以下の問題も報告されています。Mantis に、 その報告者が報告したバグのみを表示させるようにすることが、limit_reporters オプションを ON にする事で可能ですが、出力を印刷用にフォーマットするとき にプログラムがこの limit_reporters オプションを見ておらず、その結果当該報 告者が報告したもの以外のバグの一覧を見ることができます。

また、Jeroen Latour さんにより、特定のプロジェクトのバグの一覧を表示するためのページで、 ユーザがそのプロジェクトに対するアクセス権限を持っているかをチェックしていないという問題が指摘されました。 この権限は、送られたクッキー変数で管理されています。このとき、Mantis では誤って、ユーザのアクセス可能なプロジェクトのみがドロップダウンメニューに現れる、という仮定を置いています。 これにより悪意を持ったユーザが、選択したプライベートなプロジェクトのバグを見ることが可能です。

この問題は、現安定版 (stable) woody のバージョン 0.17.1-2.2 で、不安定版 (unstable) sid のバージョン 0.17.4a-2 で、各々修正されています。前安定版 (stable) potato には mantis パッケージは収録されていないため、この問題の 影響は受けません。

追加情報:

mantis パッケージを早急にアップグレードすることをお勧めします。

修正:

Debian GNU/Linux 3.0 (woody)

ソース:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2.dsc
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2.diff.gz
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1.orig.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。