Debian-Sicherheitsankündigung

DSA-335-1 mantis -- falsche Zugriffsrechte

Datum des Berichts:
28. Jun 2003
Betroffene Pakete:
mantis
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 8059.
In Mitres CVE-Verzeichnis: CVE-2003-0499.
Weitere Informationen:

mantis, eine webbasierte PHP/MySQL-Fehlerdatenbank, speichert das Passwort, das zum Zugriff auf die Datenbank benutzt wird, in einer Konfigurationsdatei, die für jeden lesbar ist. Dies erlaubt es einem lokalen Angreifer, das Passwort zu lesen und somit Lese- und Schreibzugriff auf die Datenbank zu erlangen.

Für die stable Distribution (Woody) wurde dieses Problem in Version 0.17.1-3 behoben.

Die alte stable Distribution (Potato) enthält kein mantis-Paket.

Für die unstable Distribution (Sid) wurde dieses Problem in Version 0.17.5-6 behoben.

Wir empfehlen Ihnen, Ihr mantis-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3.dsc
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3.diff.gz
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.