Alerta de Segurança Debian

DSA-335-1 mantis -- permissões incorretas

Data do Alerta:

28 Jun 2003

Pacotes Afetados:

mantis

Vulnerável:

Sim

Referência à base de dados de segurança:

Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 8059.
No dicionário CVE do Mitre: CVE-2003-0499.

Informações adicionais:

mantis, um sistema web de acompanhamento de bug baseado em PHP/MySQL, grava a senha usada para acessar sua base de dados em um arquivo de configuração que pode ser lido por qualquer usuário. Isto pode permitir que um atacante local leia a senha e obtenha acesso de leitura e gravação na base de dados.

Na atual distribuição estável (woody), este problema foi corrigido na versão 0.17.1-3.

A antiga distribuição estável (potato) não contém pacotes mantis.

Na distribuição instável (sid), este problema foi corrigido na versão 0.17.5-6.

Nós recomendamos que você atualize seus pacotes mantis.

Corrigido em:

Debian GNU/Linux 3.0 (woody)

Fonte:: http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3.dsc; http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3.diff.gz; http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1.orig.tar.gz
Componente independente de arquitetura:: http://security.debian.org/pool/updates/main/m/mantis/mantis_0.17.1-3_all.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.