Alerta de Segurança Debian
DSA-153-1 mantis -- execução de código cross site e escalagem de privilégios
- Data do Alerta:
- 14 Ago 2002
- Pacotes Afetados:
- mantis
- Vulnerável:
- Sim
- Referência à base de dados de segurança:
- Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 5565, ID BugTraq 5563, ID BugTraq 5509, ID BugTraq 5504, ID BugTraq 5514, ID BugTraq 5515, ID BugTraq 5510.
No dicionário CVE do Mitre: CVE-2002-1114, CVE-2002-1113, CVE-2002-1112, CVE-2002-1111, CVE-2002-1110. - Informações adicionais:
-
O Joao Gouveia descobriu uma variável não inicializada que é usada inseguramente com inclusão de arquivos no pacote mantis, um sistema bug tracking baseado em php. O Time de Segurança Debian encontrou mais problemas similares. Quando isso é explorado, um usuário remoto fica apto a executar código arbitrário sobre o usuário do servidor web que está hospedando o sistema mantis.
O Jeroen Latour descobriu o Mantis não checa todas as entradas do usuário, especialmente se elas não veem diretamente de formulários. Isso abre inúmeras vulnerabilidades SQL em sistemas sem magic_quotes_gpc habilitado. Muitas dessas vulnerabilidades somente são exploráveis de uma forma limitada, uma vez que não se pode executar múltiplas queries usando uma única chamada ao mysql_query(). Há uma query que pode ser enganada para mudar o nível de acesso da conta.
O Jeroen também reportou que é possível instruir o Mantis para exibir às pessoas que estão relatando erros, somente relatórios que eles informaram, ao configurar a opção limit_reporters como ON. De qualquer forma, ao formatar a saída para impressão, o programa não checa a opção limit_reporters e isso permite que sumários de erros seja visualizados por outros, além de seus donos.
Uma outra falha descoberta por Jeroen Latour é que a página responsável por exibir uma lista de erros de um projeto particular, não checa se atualmente o usuário tem acesso ao projeto, o que é transmitido por uma variável cookie. Essa confia, acidentalmente, que o projeto esteja acessível para o usuário listado no menu drop-down. Isso dá a um usuário malicioso a oportunidade de exibir as falhas de um projeto privado selecionado.
Esses problemas foram corrigidos na versão 0.17.1-2.2 para a atual distribuição estável (woody) e na versão 0.17.4a-2 para a distribuição instável (sid). A antiga distribuição estável (potato) não foi afetada, uma vez que não contém o pacote mantis.
Informações Adicionais:
- Alerta Mantis/2002-01
- Alerta Mantis/2002-02
- Alerta Mantis/2002-03
- Alerta Mantis/2002-04
- Alerta Mantis/2002-05
Nós recomendamos que você atualize seus pacotes mantis imediatamente.
- Corrigido em:
-
Debian GNU/Linux 3.0 (woody)
- Fonte:
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2.dsc
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2.diff.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2.diff.gz
- Componente independente de arquitetura:
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2_all.deb
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.