Рекомендация Debian по безопасности
DSA-335-1 mantis -- некорректные права доступа
- Дата сообщения:
- 28.06.2003
- Затронутые пакеты:
- mantis
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 8059.
В каталоге Mitre CVE: CVE-2003-0499. - Более подробная информация:
-
mantis, web-ориентированная система отслеживания ошибок на основе PHP/MySQL, сохраняет пароль, используемый для доступа к её базе данных, в конфигурационном файле, к которому открыт доступ для чтения всеми пользователями. Это может позволить локальному нападающему прочесть пароль и присвоить доступ к базе данных для чтения и записи.
В стабильном дистрибутиве (woody) эта проблема исправлена в версии 0.17.1-3.
Старый стабильный дистрибутив (potato) не содержит пакета mantis.
В нестабильном дистрибутиве (sid) эта проблема исправлена в версии 0.17.5-6.
Мы рекомендуем вам обновить пакет mantis.
- Исправлено в:
-
Debian GNU/Linux 3.0 (woody)
- Исходный код:
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3.dsc
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3.diff.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.