Säkerhetsbulletin från Debian
DSA-335-1 mantis -- felaktiga rättigheter
- Rapporterat den:
- 2003-06-28
- Berörda paket:
- mantis
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 8059.
I Mitres CVE-förteckning: CVE-2003-0499. - Ytterligare information:
-
Mantis, ett PHP/MySQL-webbaserat felhanteringssystem, lagrar de lösenord som används för att nå databasen i en konfigureringsfil som är läsbar av alla på systemet. Med detta kunde en lokal angripare läsa lösenorden och få läs- och skrivbehörighet till databasen.
För den stabila utgåvan (Woody) har detta problem rättats i version 0.17.1-3.
Den gamla stabila utgåvan (Potato) innehåller inte något mantis-paket.
För den instabila utgåvan (Sid) rättas detta problem i version 0.17.5-6.
Vi rekommenderar att ni uppgraderar ert mantis-paket.
- Rättat i:
-
Debian GNU/Linux 3.0 (woody)
- Källkod:
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3.dsc
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3.diff.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.