Рекомендация Debian по безопасности
DSA-778-1 mantis -- отсутствие очистки входных данных
- Дата сообщения:
- 19.08.2005
- Затронутые пакеты:
- mantis
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 14604.
В каталоге Mitre CVE: CVE-2005-2556, CVE-2005-2557, CVE-2005-3090. - Более подробная информация:
-
В Mantis, системе отслеживания ошибок на базе веб, были обнаружены две связанных с безопасностью проблемы. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CAN-2005-2556
Удалённый злоумышленник может передать специально сформированный URL для сканирования произвольных портов на произвольных узлах, которые в противном случае для него были бы недоступны.
- CAN-2005-2557
Удалённый злоумышленник может ввести произвольный код HTML в сообщение об ошибке, вызвав межсайтовый скриптинг.
- CAN-2005-3090
Удалённый злоумышленник может ввести произвольный код HTML в сообщение об ошибке, вызвав межсайтовый скриптинг.
Предыдущий стабильный выпуск (woody), как кажется, не подвержен этим проблемам.
В стабильном выпуске (sarge) эти проблемы были исправлены в версии 0.19.2-4.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 0.19.2-4.
Рекомендуется обновить пакет mantis.
- CAN-2005-2556
- Исправлено в:
-
Debian GNU/Linux 3.1 (sarge)
- Исходный код:
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.dsc
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.diff.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.