Рекомендация Debian по безопасности
DSA-1856-1 mantis -- утечка информации
- Дата сообщения:
- 08.08.2009
- Затронутые пакеты:
- mantis
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 425010.
- Более подробная информация:
-
Было обнаружено, что Debian-пакет Mantis, система отслеживания ошибок на основе веб, устанавливает данные учётной записи для работы с базой данных в файл на локальной файловой системе, открытый для чтения всем пользователям. Это позволяет локальным пользователям получить данные учётной записи, используемой для управления базой данных Mantis.
Обновлённый пакет исправляет эту проблему для новых установок, также будет предпринята осторожная попытка обновления существующей установки. Администраторы могут проверить права доступа к файлу /etc/mantis/config_db.php, чтобы убедиться, что для их окружения проблема решена.
В предыдущем стабильном выпуске (etch) пакет mantis отсутствует.
В стабильном выпуске (lenny) эта проблема была исправлена в версии 1.1.6+dfsg-2lenny1.
В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.1.8+dfsg-2.
Рекомендуется обновить пакет mantis.
- Исправлено в:
-
Debian GNU/Linux 5.0 (lenny)
- Исходный код:
- http://security.debian.org/pool/updates/main/m/mantis/mantis_1.1.6+dfsg.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_1.1.6+dfsg-2lenny1.dsc
- http://security.debian.org/pool/updates/main/m/mantis/mantis_1.1.6+dfsg-2lenny1.diff.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_1.1.6+dfsg-2lenny1.dsc
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/m/mantis/mantis_1.1.6+dfsg-2lenny1_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.