Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3120-1 mantis

Bulletin d'alerte Debian

DSA-3120-1 mantis -- Mise à jour de sécurité

Date du rapport :

6 janvier 2015

Paquets concernés :

mantis

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-6316, CVE-2014-7146, CVE-2014-8553, CVE-2014-8554, CVE-2014-8598, CVE-2014-8986, CVE-2014-8988, CVE-2014-9089, CVE-2014-9117, CVE-2014-9269, CVE-2014-9270, CVE-2014-9271, CVE-2014-9272, CVE-2014-9280, CVE-2014-9281, CVE-2014-9388, CVE-2014-9506, CVE-2014-6387, CVE-2013-4460, CVE-2013-1934, CVE-2013-1811.

Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans le système de suivi de bogues Mantis qui pourraient conduire à des attaques de type hameçonnage, la divulgation d'informations, le contournement de CAPTCHA, l'injection SQL, un script intersite ou à l'exécution de code PHP arbitraire.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.2.18-1.

Nous vous recommandons de mettre à jour vos paquets mantis.