Bulletin d'alerte Debian
DSA-161-1 mantis -- Usurpation de privilège
- Date du rapport :
- 4 septembre 2002
- Paquets concernés :
- mantis
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2002-1115, CVE-2002-1116.
- Plus de précisions :
-
Un problème avec les privilèges d'utilisateur a été découvert dans le paquet Mantis, un système traçage de bogue en PHP. Le système Mantis ne vérifie pas si l'utilisateur à le droit ou pas de regarder le bogue mais affiche directement si l'utilisateur connaît le numéro du bogue.
Un autre bogue dans Mantis permet à la page View Bugs de lister tous les bogues de projets publics et privés quand aucun project est accessible pour l'utilisateur demandeur.
Ces problèmes n'existent plus dans la version 0.17.1-2.5 pour l'actuelle distribution stable (woody) et dans celle 0.17.5-2 pour la distribution instable (sid). L'ancienne distribution stable (potato) n'est pas affecté car elle ne contient pas le paquet mantis.
Informations supplémentaires:
Nous vous recommandons de mettre à jour vos paquets mantis.
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.5.dsc
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.5.diff.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.5.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.5_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.