Debians sikkerhedsbulletin
DSA-1133-1 mantis -- manglende kontrol af inddata
- Rapporteret den:
- 1. aug 2006
- Berørte pakker:
- mantis
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 361138, Fejl 378353.
I Mitres CVE-ordbog: CVE-2006-0664, CVE-2006-0665, CVE-2006-0841, CVE-2006-1577. - Yderligere oplysninger:
-
Flere fjernudnytbare sårbarheder er opdaget i fejlsporingssystemet Mantis, hvilket kunne føre til udførelse af vilkårlige webskripter. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:
- CVE-2006-0664
En sårbarhed i forbindelse med udførelse af skripter på tværs af websteder (cross-site scripting), er opdaget i config_defaults_inc.php.
- CVE-2006-0665
Sårbarheder i forbindelse med udførelse af skripter på tværs af websteder, er opdaget i query_store.php og manage_proj_create.php.
- CVE-2006-0841
Flere sårbarheder i forbindelse med udførelse af skripter på tværs af websteder, er opdaget i view_all_set.php, manage_user_page.php, view_filters_page.php og proj_doc_delete.php.
- CVE-2006-1577
Flere sårbarheder i forbindelse med udførelse af skripter på tværs af websteder, er opdaget i view_all_set.php.
I den stabile distribution (sarge) er disse problemer rettet i version 0.19.2-5sarge4.1.
I den ustabile distribution (sid) er disse problemer rettet i version 0.19.4-3.1.
Vi anbefaler at du opgraderer din mantis-pakke.
- CVE-2006-0664
- Rettet i:
-
Debian GNU/Linux 3.1 (sarge)
- Kildekode:
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge4.1.dsc
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge4.1.diff.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge4.1.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge4.1_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.