Bulletin d'alerte Debian

DSA-905-1 mantis -- Plusieurs vulnérabilités

Date du rapport :

22 novembre 2005

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 330682, Bogue 335938.
Dans le dictionnaire CVE du Mitre : CVE-2005-3091, CVE-2005-3335, CVE-2005-3336, CVE-2005-3338, CVE-2005-3339.

Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans Mantis, un système de suivi des bogues par le web. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :

CVE-2005-3091
Une vulnérabilité de script intersite permettait à des attaquants d'injecter des scripts web ou du code HTML arbitraires.
CVE-2005-3335
Une vulnérabilité dans l'inclusion de fichier permettait à des attaquants distants d'exécuter du code PHP arbitraire et d'inclure des fichiers locaux arbitraires.
CVE-2005-3336
Une vulnérabilité d'injection de code SQL permettait à des attaquants distants d'exécuter des commandes SQL arbitraires.
CVE-2005-3338
Mantis pouvait être amené à afficher l'adresse réelle de courriel de ses utilisateurs, normalement conservée secrète.

L'ancienne distribution stable (Woody) n'est pas touchée par ces problèmes.

Pour l'actuelle distribution stable (Sarge), ces problèmes ont été corrigés dans la version 0.19.2-4.1.

Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 0.19.3-0.1.

Nous vous recommandons de mettre à jour votre paquet mantis.

Corrigé dans :

Debian GNU/Linux 3.1 (sarge)

Source :: http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.1.dsc; http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.1.diff.gz; http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2.orig.tar.gz
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.1_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.