Säkerhetsbulletin från Debian
DSA-153-1 mantis -- serveröverskridande kodexekvering
- Rapporterat den:
- 2002-08-14
- Berörda paket:
- mantis
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 5565, BugTraq-id 5563, BugTraq-id 5509, BugTraq-id 5504, BugTraq-id 5514, BugTraq-id 5515, BugTraq-id 5510.
I Mitres CVE-förteckning: CVE-2002-1114, CVE-2002-1113, CVE-2002-1112, CVE-2002-1111, CVE-2002-1110. - Ytterligare information:
-
Joao Gouveia upptäckte en oinitierad variabel vilken användes på ett osäkert sätt i samband med inkludering av filer i mantis-paketet, ett php-baserat felrapporteringssystem. Debians säkerhetsgrupp upptäckte flera likartade problem. När dessa förekomster utnyttjas kan en fjärranvändare exekvera godtycklig kod under webbserverns användar-id på den webbserver som kör mantis-systemet.
Jeroen Latour upptäckte att Mantis inte kontrollerar all användarindata, speciellt inte om de inte kommer direkt från formulärfält. Detta öppnar för en mängd SQL-förgiftningssårbarheter på system där inte magic_quotes_gpc är aktiverat. De flesta dessa sårbarheter kan endast utnyttjas i begränsad omfattning eftersom det inte längre är möjligt att utföra flera samtidiga förfrågningar genom ett anrop till mysql_query(). Det finns en fråga som kan luras att ändra ett kontos åtkomstnivå.
Jeroen Latour rapporterade även att det är möjligt att tala om för Mantis att endast visa de fel en rapportör själv skrivit, genom att sätta flaggan limit_reporters till ON. Dock kontrollerade inte programmet limit_reporters-flaggan när utdata formaterades för att vara lämpligt för utskrift, varpå det tillät rapportörer att se sammanfattningar för felrapporter de inte skrivit.
Jeroen Latour upptäckte att sidan vars uppgift det är att visa en förteckning för fel i en speciellt rapport inte kontrollerade huruvida användaren faktiskt hade åtkomsträttighet till projektet, vilket lagras i en kaka (eng. cookie). Av misstag så litade den på att endast de projekt som visades i menyn var tillgängliga till användaren, något som gjorde att en användare med ont uppsåt hade möjlighet att visa rapporter för ett privat projekt.
Dessa problem har rättats i version 0.17.1-2.2 för den aktuella stabila utgåvan (Woody) samt i version 0.17.4a-2 för den instabila utgåvan (Sid). Den gamla stabila utgåvan (Potato) berörs ej eftersom den inte innehåller mantis-paketet.
Ytterligare information:
- Mantisbulletin 2002-01
- Mantisbulletin 2002-02
- Mantisbulletin 2002-03
- Mantisbulletin 2002-04
- Mantisbulletin 2002-05
Vi rekommenderar att ni uppgraderar era mantis-paket omedelbart.
- Rättat i:
-
Debian GNU/Linux 3.0 (woody)
- Källkod:
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2.dsc
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2.diff.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.2_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.