Рекомендация Debian по безопасности

DSA-161-1 mantis -- повышение привилегий

Дата сообщения:
04.09.2002
Затронутые пакеты:
mantis
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2002-1115, CVE-2002-1116.
Более подробная информация:

В пакете Mantis, системе отслеживания ошибок на основе PHP, была обнаружена проблема, касающаяся прав пользователей. Система Mantis не выполняет проверку того, разрешено ли пользователю просматривать сообщение об ошибке, а просто отображает его при условии, что пользователь ввёл правильный идентификатор сообщения.

Другая ошибка в Mantis приводит к тому, что на странице 'View Bugs' выводится список ошибок и из открытых, и из закрытых проектов при условии, что текущий пользователь не имеет доступа ни к каким проектам.

Эти проблемы были исправлены в версии 0.17.1-2.5 для текущего стабильного выпуска (woody) и в версии 0.17.5-2 для нестабильного выпуска (sid). Предыдущий стабильный выпуск (potato) не подвержен данным проблемам, поскольку пакет mantis в нём отсутствует.

Дополнительная информация:

Рекомендуется обновить пакеты mantis.

Исправлено в:

Debian GNU/Linux 3.0 (woody)

Исходный код:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.5.dsc
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.5.diff.gz
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-2.5_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.