Debians sikkerhedsbulletin
DSA-905-1 mantis -- flere sårbarheder
- Rapporteret den:
- 22. nov 2005
- Berørte pakker:
- mantis
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 330682, Fejl 335938.
I Mitres CVE-ordbog: CVE-2005-3091, CVE-2005-3335, CVE-2005-3336, CVE-2005-3338, CVE-2005-3339. - Yderligere oplysninger:
-
Flere sikkerhedsrelaterede problemer er fundet i Mantis, et webbaseret fejlsporingssystem. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:
- CVE-2005-3091
En sårbarhed i forbindelse med udførelse af skripter på tværs af websteder gjorde det muligt for angribere at indsprøjte vilkårlige webskripter eller HTML.
- CVE-2005-3335
En filmedtagelsessårbarhed gjorde det muligt for fjernangribere at udføre vilkårlig PHP-kode samt medtage vilkårlige lokale filer.
- CVE-2005-3336
En SQL-indsprøjtningssårbarhed gjorde det muligt for fjernangribere at udføre vilkårlige SQL-kommandoer.
- CVE-2005-3338
Mantis kunne narres til at vise sine brugeres ellers skjulte rigtige e-mail-adresser.
Den gamle stabile distribution (woody) er ikke påvirket af disse problemer.
I den stabile distribution (sarge) er disse problemer rettet i version 0.19.2-4.1.
I den ustabile distribution (sid) er disse problemer rettet i version 0.19.3-0.1.
Vi anbefaler at du opgraderer din mantis-pakke.
- CVE-2005-3091
- Rettet i:
-
Debian GNU/Linux 3.1 (sarge)
- Kildekode:
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.1.dsc
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.1.diff.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.1.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.1_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.