Bulletin d'alerte Debian

DSA-1133-1 mantis -- Vérification d'entrée manquante

Date du rapport :

1^er août 2006

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 361138, Bogue 378353.
Dans le dictionnaire CVE du Mitre : CVE-2006-0664, CVE-2006-0665, CVE-2006-0841, CVE-2006-1577.

Plus de précisions :

Plusieurs vulnérabilités distantes ont été découvertes dans le système de suivi des bogues Mantis, elles pourraient conduire à l'exécution d'un script web arbitraire. Le projet des expositions et vulnérabilités communes identifie les problèmes suivants :

CVE-2006-0664
Une vulnérabilité de script intersite session a été découverte dans config_defaults_inc.php.
CVE-2006-0665
Des vulnérabilités de script intersite ont été découvertes dans query_store.php et dans manage_proj_create.php.
CVE-2006-0841
Plusieurs vulnérabilités de script intersite ont été découvertes dans view_all_set.php, manage_user_page.php, view_filters_page.php et proj_doc_delete.php.
CVE-2006-1577
Plusieurs vulnérabilités de script intersite ont été découvertes dans view_all_set.php.

Pour la distribution stable (Sarge), ce problème a été corrigé dans la version 0.19.2-5sarge4.1.

Pour la distribution instable (Sid), ce problème a été corrigé dans la version 0.19.4-3.1.

Nous vous recommandons de mettre à jour votre paquet mantis.

Corrigé dans :

Debian GNU/Linux 3.1 (sarge)

Source :: http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge4.1.dsc; http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge4.1.diff.gz; http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2.orig.tar.gz
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge4.1_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.