Debian-Sicherheitsankündigung
DSA-335-1 mantis -- falsche Zugriffsrechte
- Datum des Berichts:
- 28. Jun 2003
- Betroffene Pakete:
- mantis
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 8059.
In Mitres CVE-Verzeichnis: CVE-2003-0499. - Weitere Informationen:
-
mantis, eine webbasierte PHP/MySQL-Fehlerdatenbank, speichert das Passwort, das zum Zugriff auf die Datenbank benutzt wird, in einer Konfigurationsdatei, die für jeden lesbar ist. Dies erlaubt es einem lokalen Angreifer, das Passwort zu lesen und somit Lese- und Schreibzugriff auf die Datenbank zu erlangen.
Für die stable Distribution (Woody) wurde dieses Problem in Version 0.17.1-3 behoben.
Die alte stable Distribution (Potato) enthält kein mantis-Paket.
Für die unstable Distribution (Sid) wurde dieses Problem in Version 0.17.5-6 behoben.
Wir empfehlen Ihnen, Ihr mantis-Paket zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3.dsc
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3.diff.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3.diff.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3_all.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.