--------------------------------------------------------------------------
Aviso de seguridad de Debian DSA 905-1 security@debian.org
http://www.debian.org/security/ Martin Schulze
22 de noviembre de 2005 http://www.debian.org/security/faq
--------------------------------------------------------------------------
Paquete : mantis
Vulnerabilidad : varias
Ámbito : remoto
Sólo en Debian : no
Ids. de CVE : CVE-2005-3091 CVE-2005-3335 CVE-2005-3336 CVE-2005-3338
CVE-2005-3339
Errores Debian : 330682 335938
Se han descubiertovarios problemas relacionados con la seguridad en
Mantis, un sistema de seguimiento de fallos para la web. El proyecto
Common Vulnerabilities and Exposures identifica los siguientes problemas:
CVE-2005-3091
Una vulnerabilidad de guiones a través del sitio permitía que los
atacantes inyectasen HTML o guiones web arbitrarios.
CVE-2005-3335
Una vulnerabilidad de inclusión de archivo permitía que los atacantes
remotos ejecutasen código PHP arbitrario y que incluyesen archivos
locales arbitrarios.
CVE-2005-3336
Una vulnerabilidad de inyección de SQL permitía que los atacantes
remotos ejecutasen órdenes SQL arbitrarias.
CVE-2005-3338
A mantis se le podía engañar para mostrar la dirección de correo real
(que debiera permanecer oculta) de sus usuarios.
La distribución estable anterior (woody) no se ve afectada por estos
problemas.
Para esta distribución estable (sarge), estos problemas se han corregieo
en la versión 0.19.2-4.1.
Para la distribución inestable (sid), estos problemas se han corregido en
la versión 0.19.3-0.1.
Le recomendamos que actualice el paquete mantis.
Instrucciones de actualización
------------------------------
wget url
obtiene el archivo.
dpkg -i archivo.deb
instala el archivo indicado.
Si va a usar el gestor de paquetes apt-get, emplee la línea
para sources.list que se proporciona al final del aviso:
apt-get update
actualiza la base de datos interna
apt-get upgrade
instala los paquetes corregidos
Puede usar una actualización automatizada, añadiendo los
recursos del final del aviso para la configuración adecuada.
Debian GNU/Linux 3.1 alias sarge
--------------------------------
Archivos con el código fuente:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.1.dsc
Tamaño y suma MD5: 572 b7c83d901ff3cfa1c4cb54502e5519c7
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.1.diff.gz
Tamaño y suma MD5: 36447 e364d9ebb64a2071c3188baabb027dbd
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2.orig.tar.gz
Tamaño y suma MD5: 1298615 042c42c6de3bc536181391c1e9b25db3
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.1_all.deb
Tamaño y suma MD5: 895006 4131ad481a77292789af31e00a7960e6
Estos archivos probablemente se pasen a la distribución estable en
su próxima revisión.
---------------------------------------------------------------------
Para apt-get:
deb http://security.debian.org/ stable/updates main
Para dpkg-ftp:
ftp://security.debian.org/debian-security dists/stable/updates/main
Lista de correo:
debian-security-announce@lists.debian.org
Información del paquete:
'apt-cache show <paquete>' y http://packages.debian.org/<paquete>
--
Juan Manuel Garcia Molina
Debian GNU/Linux Developer
juanma@debian.org http://www.debian.org
Attachment:
pgpkG4vgzlb0u.pgp
Description: PGP signature