Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2500-1 mantis

Bulletin d'alerte Debian

DSA-2500-1 mantis -- Plusieurs vulnérabilités

Date du rapport :

24 juin 2012

Paquets concernés :

mantis

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-1118, CVE-2012-1119, CVE-2012-1120, CVE-2012-1122, CVE-2012-1123, CVE-2012-2692.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Mantis, un système de suivi de problèmes.

• CVE-2012-1118

  Une installation de Mantis dans laquelle l'option de configuration private_bug_view_threshold a été définie par un tableau n'applique pas correctement les restrictions de visualisation de bogue.

• CVE-2012-1119

  Les actions de copie et clonage de rapport de bogue ne permettent pas de suivre l'audit.

• CVE-2012-1120

  Les vérifications d'accès delete_bug_threshold et bugnote_allow_user_edit_delete peuvent être contournées par les utilisateurs ayant accès en écriture sur l'interface de programmation SOAP.

• CVE-2012-1122

  Mantis ne réalisait pas correctement les vérifications d'accès lors du déplacement de bogues entre projets.

• CVE-2012-1123

  Un client SOAP envoyant un champ de mot de passe NULL peut s'authentifier en tant qu'administrateur Mantis.

• CVE-2012-2692

  Mantis ne vérifie pas la permission delete_attachments_threshold quand un utilisateur essaye d'effacer une pièce jointe d'un problème.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 1.1.8+dfsg-10squeeze2.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.2.11-1.

Nous vous recommandons de mettre à jour vos paquets mantis.