Säkerhetsbulletin från Debian
DSA-1133-1 mantis -- städar inte indata
- Rapporterat den:
- 2006-08-01
- Berörda paket:
- mantis
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 361138, Fel 378353.
I Mitres CVE-förteckning: CVE-2006-0664, CVE-2006-0665, CVE-2006-0841, CVE-2006-1577. - Ytterligare information:
-
Flera utifrån nåbara sårbarheter har upptäckts i felrapporteringssystemet Mantis, vilka kunde leda till exekvering av godtyckliga webbskript. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2006-0664
En serveröverskridande skriptsårbarhet har upptäckts i config_defaults_inc.php.
- CVE-2006-0665
Serveröverskridande skriptsårbarheter har upptäckts i query_store.php och manage_proj_create.php.
- CVE-2006-0841
Flera serveröverskridande skriptsårbarheter har upptäckts i view_all_set.php, manage_user_page.php, view_filters_page.php och proj_doc_delete.php.
- CVE-2006-1577
Flera serveröverskridande skriptsårbarheter har upptäckts i view_all_set.php.
För den stabila utgåvan (Sarge) har dessa problem rättats i version 0.19.2-5sarge4.1.
För den instabila utgåvan (Sid) har dessa problem rättats i version 0.19.4-3.1.
Vi rekommenderar att ni uppgraderar ert mantis-paket.
- CVE-2006-0664
- Rättat i:
-
Debian GNU/Linux 3.1 (sarge)
- Källkod:
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge4.1.dsc
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge4.1.diff.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge4.1.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge4.1_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.