Bulletin d'alerte Debian

DSA-335-1 mantis -- Permissions incorrectes

Date du rapport :
28 juin 2003
Paquets concernés :
mantis
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 8059.
Dans le dictionnaire CVE du Mitre : CVE-2003-0499.
Plus de précisions :

mantis, un système web de traçabilité de bogues basé sur PHP/MySQL, enregistre le mot de passe utilisé pour accéder à sa base de données dans un fichier de configuration qui est en accès pour tout le monde. Ceci pouvait permettre à un attaquant local de lire le mot de passe et d'obtenir un accès en lecture/écriture sur la base de données.

Pour la distribution stable (Woody), ce problème a été corrigé dans la version 0.17.1-3.

L'ancienne distribution stable (Potato) ne contient pas le paquet mantis.

Pour la distribution instable (Sid), ce problème a été corrigé dans la version 0.17.5-6.

Nous vous recommandons de mettre à jour votre paquet mantis.

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3.dsc
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3.diff.gz
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.