Debianin tietoturvatiedote

DSA-335-1 mantis -- virheelliset lukuoikeudet

Ilmoitettu:
28. 6.2003
Vaikutuksen alaiset paketit:
mantis
Altis:
Kyllä
Viittaukset tietoturvatietokantoihin:
Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 8059.
Mitren CVE-sanakirjassa: CVE-2003-0499.
Lisätietoa:

mantis, PHP:llä ja MySQL:llä toteutettu www-pohjainen vianhallintajärjestelmä, säilyttää tietokantaansa pääsyyn käytettävän salasanan asetustiedostossa, joka on kaikkien luettavissa. Paikallisen hyökkääjän on näin mahdollista lukea salasana ja saada luku/kirjoitusoikeudet tietokantaan.

Ongelma on korjattu vakaan jakelun (woody) versiossa 0.17.1-3 .

Aiempi vakaa jakelu (potato) ei sisällä mantis-pakettia.

Ongelma on korjattu epävakaan jakelun (sid) versiossa 0.17.5-6 .

Suosittelemme päivittämään mantis-paketin.

Korjattu:

Debian GNU/Linux 3.0 (woody)

Lähde:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3.dsc
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3.diff.gz
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1.orig.tar.gz
Arkkitehtuuririippumaton komponentti:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3_all.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.