Säkerhetsbulletin från Debian
DSA-905-1 mantis -- flera sårbarheter
- Rapporterat den:
- 2005-11-22
- Berörda paket:
- mantis
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 330682, Fel 335938.
I Mitres CVE-förteckning: CVE-2005-3091, CVE-2005-3335, CVE-2005-3336, CVE-2005-3338, CVE-2005-3339. - Ytterligare information:
-
Flera säkerhetsrelaterade problem har upptäckts i Mantis, ett webbaserat felrapporteringssystem. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2005-3091
En serveröverskridande skriptsårbarhet gör det möjligt för angripare att injicera godtyckliga webbskript eller HTML.
- CVE-2005-3335
En sårbar filinkluderieng gör det möjligt för angripare utifrån att exekvera godtycklig PHP-kod och inkludera godtyckliga lokala filer.
- CVE-2005-3336
En Sårbar SQL-injicering gör det möjligt för angripare utifrån att exekvera godtyckliga SQL-kommandon.
- CVE-2005-3338
Mantis kan luras att visa en i övrigt dold äkta e-postadress för en användare.
Den gamla stabila utgåvan (Woody) påverkas inte av dessa problem.
För den stabila utgåvan (Sarge) har dessa problem rättats i version 0.19.2-4.1.
För den instabila utgåvan (Sid) har dessa problem rättats i version 0.19.3-0.1.
Vi rekommenderar att ni uppgraderar ert mantis-paket.
- CVE-2005-3091
- Rättat i:
-
Debian GNU/Linux 3.1 (sarge)
- Källkod:
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.1.dsc
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.1.diff.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.1.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.1_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.