Aviso de seguridad de Debian
DSA-161-1 mantis -- escalada de privilegios
- Fecha del informe:
- 4 de sep de 2002
- Paquetes afectados:
- mantis
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2002-1115, CVE-2002-1116.
- Información adicional:
-
Se ha descubierto un problema con los privilegios de usuario en el paquete Mantis, un sistema de seguimiento de fallos basado en PHP. El sistema Mantis no comprobaba si a un usuario se le permitía ver un error, sino que lo mostraba si el usuario introducía un id de error válido.
Otro error de Mantis causaba que la página «Ver errores» listara los errores tanto de los proyectos públicos como de los privados, incluso si el usuario no tuviera acceso a los proyectos.
Estos problemas han sido corregidos en la versión 0.17.1-2.5 para la distribución estable actual (woody) y en la versión 0.17.5-2 para la distribución inestable (sid). La vieja distribución estable (potato) no se ve afectada porque no contiene el paquete mantis.
Información adicional:
Le recomendamos que actualice los paquetes de mantis.
- Arreglado en:
-
Debian GNU/Linux 3.0 (woody)
- Fuentes:
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.5.dsc
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.5.diff.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.5.diff.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.5_all.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.