Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheitsankündigung

DSA-944-1 mantis -- Mehrere Verwundbarkeiten

Datum des Berichts:

17. Jan 2006

Betroffene Pakete:

mantis

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In der Debian-Fehlerdatenbank: Fehler 345288.
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 15842, BugTraq ID 16046.
In Mitres CVE-Verzeichnis: CVE-2005-4238, CVE-2005-4518, CVE-2005-4519, CVE-2005-4520, CVE-2005-4521, CVE-2005-4522, CVE-2005-4523, CVE-2005-4524.

Weitere Informationen:

Mehrere sicherheitsrelevante Probleme wurden in Mantis, einer Web-basierten Fehlerdatenbank, entdeckt. Das Common Vulnerabilities and Exposures project identifiziert die folgenden Probleme:

• CVE-2005-4238

  Fehlende Eingabebereinigung erlaubt es entfernten Angreifern, beliebige Web-Skripte oder HTML einzufügen.

• CVE-2005-4518

  Tobias Klein entdeckte, dass Mantis es entfernten Angreifern erlaube, die Dateigrößenbeschränkung beim Upload zu umgehen.

• CVE-2005-4519

  Tobias Klein entdeckte mehrere SQL-Injection-Verwundbarkeiten, die es entfernten Angreifern erlauben, beliebige SQL-Befehle auszuführen.

• CVE-2005-4520

  Tobias Klein entdeckte unspezifizierte port injection-Verwundbarkeiten in Filtern.

• CVE-2005-4521

  Tobias Klein entdeckte eine CRLF-Injection-Verwundbarkeit, die es entfernten Angreifern erlaube, HTTP-Header zu verändern und Angriffe per HTTP-Response-Splitting durchzuführen.

• CVE-2005-4522

  Tobias Klein entdeckte mehrere Verwundbarkeiten per Site-übergreifendem Skripting (XSS), die es entfernten Angreifern erlauben, beliebige Web-Skripte oder HTML einzufügen.

• CVE-2005-4523

  Tobias Klein entdeckte, dass Mantis private Fehler über öffentliche RSS-Feeds offenbare, was es entfernten Angreifern erlaube, heikle Informationen zu beziehen.

• CVE-2005-4524

  Tobias Klein entdeckte, dass Mantis Make note private nicht ordnungsgemäß behandele, wenn ein Fehler behoben werde, was unbekannte Auswirkungen und Angriffsvektoren mit sich bringe, eventuell hinsichtlich eines Informationslecks.

Die alte Stable-Distribution (Woody) scheint von diesen Problemen nicht betroffen zu sein.

Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 0.19.2-5sarge1 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 0.19.4-1 behoben.

Wir empfehlen Ihnen, Ihr Mantis-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (sarge)

Quellcode:

http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge1.dsc

http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge1.diff.gz

http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2.orig.tar.gz

Architektur-unabhängige Dateien:

http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge1_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

Diese Seite gibt es auch in den folgenden Sprachen:

dansk English español français Português svenska

Wie stellt man die Standardsprache ein