Säkerhetsbulletin från Debian
DSA-778-1 mantis -- städar inte indata
- Rapporterat den:
- 2005-08-19
- Berörda paket:
- mantis
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 14604.
I Mitres CVE-förteckning: CVE-2005-2556, CVE-2005-2557, CVE-2005-3090. - Ytterligare information:
-
Två säkerhetsrelaterade problem har upptäckts i Mantis, ett webbaserat felrapporteringssystem. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CAN-2005-2556
En angripare utifrån kunde sända en specialskriven URL för att avsöka godtyckliga portar på godtyckliga värdar som kanske annare inte kan nås.
- CAN-2005-2557
En angripare utifrån kunde sätta in godtycklig HTML-kod i felrapporter, vilket kunde användas för serveröverskridande skriptning.
- CAN-2005-3090
En angripare utifrån kunde sätta in godtycklig HTML-kod i felrapporter, vilket kunde användas för serveröverskridande skriptning.
Den gamla stabila utgåvan (Woody) verkar inte påverkas av dessa problem.
För den stabila utgåvan (Sarge) har dessa problem rättats i version 0.19.2-4.
För den instabila utgåvan (Sid) har dessa problem rättats i version 0.19.2-4.
Vi rekommenderar att ni uppgraderar ert mantis-paket.
- CAN-2005-2556
- Rättat i:
-
Debian GNU/Linux 3.1 (sarge)
- Källkod:
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.dsc
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.diff.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.