Bulletin d'alerte Debian
DSA-335-1 mantis -- Permissions incorrectes
- Date du rapport :
- 28 juin 2003
- Paquets concernés :
- mantis
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 8059.
Dans le dictionnaire CVE du Mitre : CVE-2003-0499. - Plus de précisions :
-
mantis, un système web de traçabilité de bogues basé sur PHP/MySQL, enregistre le mot de passe utilisé pour accéder à sa base de données dans un fichier de configuration qui est en accès pour tout le monde. Ceci pouvait permettre à un attaquant local de lire le mot de passe et d'obtenir un accès en lecture/écriture sur la base de données.
Pour la distribution stable (Woody), ce problème a été corrigé dans la version 0.17.1-3.
L'ancienne distribution stable (Potato) ne contient pas le paquet mantis.
Pour la distribution instable (Sid), ce problème a été corrigé dans la version 0.17.5-6.
Nous vous recommandons de mettre à jour votre paquet mantis.
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3.dsc
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3.diff.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.