Информация по безопасности / 2012 / Информация о безопасности -- DSA-2500-1 mantis

Рекомендация Debian по безопасности

DSA-2500-1 mantis -- несколько уязвимостей

Дата сообщения:

24.06.2012

Затронутые пакеты:

mantis

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2012-1118, CVE-2012-1119, CVE-2012-1120, CVE-2012-1122, CVE-2012-1123, CVE-2012-2692.

Более подробная информация:

В Mantis, системе отслеживания проблем, было обнаружено несколько уязвимостей.

• CVE-2012-1118

  Установки Mantis, в которых параметр настройки private_bug_view_threshold установлен в значение массива, неправильно работает с ограничениями просмотра сообщений об ошибках.

• CVE-2012-1119

  Действия по копированию/клонированию сообщений об ошибках не оставляют след аудита.

• CVE-2012-1120

  Пользователи, имеющие доступ к API SOAP, могут обойти проверку доступа delete_bug_threshold/bugnote_allow_user_edit_delete.

• CVE-2012-1122

  Mantis неправильно выполняет проверки доступа при перемещении сообщений об ошибках между проектами.

• CVE-2012-1123

  SOAP-клиент, отправляющий пустое поле для ввода пароля, может аутентифицироваться как администратор Mantis.

• CVE-2012-2692

  Mantis не выполняет проверку прав доступа delete_attachments_threshold в случае, если пользователь пытается удалить вложение из сообщения об ошибке.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 1.1.8+dfsg-10squeeze2.

В тестируемом (wheezy) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 1.2.11-1.

Рекомендуется обновить пакеты mantis.