------------------------------------------------------------------------- Alerta de Segurança Debian DSA 153-2 security@debian.org http://www.debian.org/security/ Martin Schulze 20 de Agosto de 2002 http://www.debian.org/security/faq -------------------------------------------------------------------------- Pacote : mantis Vulnerabilidade : execução de código cross site, escalagem de privilégios Tipo de Problema : remoto Específico ao Debian : não O Jeroen Latour informou que nós esquecemos uma variável não inicializada no DSA 153-1, que é inseguramente utilizada com a inclusão de arquivos no pacote mantis, um sistema de bug tracking para web feito em php. Quando tais ocasiões são exploradas, um usuário remoto torna-se apto a executar código arbitrário sob o id do usuário do servidor web na máquina que hospeda o sistema mantis. Ele descobriu também que o Mantis não checa todas as entradas do usuário, especialmente se elas não vêem diretamente de formulários. Isso abre inúmeras vulnerabilidades SQL em sistemas sem magic_quotes_gpc habilitado. Muitas dessas vulnerabilidades somente são exploráveis de uma forma limitada, uma vez que não se pode executar múltiplas queries usando uma única chamada ao mysql_query(). Há uma query que pode ser enganada para mudar o nível de acesso da conta. O Jeroen também reportou que é possível instruir o Mantis para exibir às pessoas que estão relatando erros, somente relatórios que eles informaram, ao configurar a opção limit_reporters como ON. De qualquer forma, ao formatar a saída para impressão, o programa não checa a opção limit_reporters e isso permite que sumários de erros seja visualizados por outros, além de seus donos. Uma outra falha descoberta por Jeroen Latour é que a página responsável por exibir uma lista de erros de um projeto particular, não checa se atualmente o usuário tem acesso ao projeto, o que é transmitido por uma variável cookie. Essa confia, acidentalmente, que o projeto esteja acessível para o usuário listado no menu drop-down. Isso dá a um usuário malicioso a oportunidade de exibir as falhas de um projeto privado selecionado. Esses problemas foram corrigidos na versão 0.17.1-2.2 para a atual distribuição estável (woody) e na versão 0.17.4a-2 para a distribuição instável (sid). A antiga distribuição estável (potato) não foi afetada, uma vez que não contém o pacote mantis. Nós recomendamos que você atualize seus pacotes mantis imediatamente. -------------------------------------------------------------------------- Essa é uma tradução do DSA origial, enviado para a lista debian-security-announce@lists.debian.org. Caso queira receber os alertas em inglês e minutos depois de sua publicação, inscreva-se na lista acima, através do endereço: http://www.debian.org/MailingLists/subscribe#debian-security-announce -------------------------------------------------------------------------- -- Michelle Ribeiro
------------------------------------------------------------------------- Alerta de Segurança Debian DSA 153-2 security@debian.org http://www.debian.org/security/ Martin Schulze 20 de Agosto de 2002 http://www.debian.org/security/faq -------------------------------------------------------------------------- Pacote : mantis Vulnerabilidade : execução de código cross site, escalagem de privilégios Tipo de Problema : remoto Específico ao Debian : não O Jeroen Latour informou que nós esquecemos uma variável não inicializada no DSA 153-1, que é inseguramente utilizada com a inclusão de arquivos no pacote mantis, um sistema de bug tracking para web feito em php. Quando tais ocasiões são exploradas, um usuário remoto torna-se apto a executar código arbitrário sob o id do usuário do servidor web na máquina que hospeda o sistema mantis. Ele descobriu também que o Mantis não checa todas as entradas do usuário, especialmente se elas não vêem diretamente de formulários. Isso abre inúmeras vulnerabilidades SQL em sistemas sem magic_quotes_gpc habilitado. Muitas dessas vulnerabilidades somente são exploráveis de uma forma limitada, uma vez que não se pode executar múltiplas queries usando uma única chamada ao mysql_query(). Há uma query que pode ser enganada para mudar o nível de acesso da conta. O Jeroen também reportou que é possível instruir o Mantis para exibir às pessoas que estão relatando erros, somente relatórios que eles informaram, ao configurar a opção limit_reporters como ON. De qualquer forma, ao formatar a saída para impressão, o programa não checa a opção limit_reporters e isso permite que sumários de erros seja visualizados por outros, além de seus donos. Uma outra falha descoberta por Jeroen Latour é que a página responsável por exibir uma lista de erros de um projeto particular, não checa se atualmente o usuário tem acesso ao projeto, o que é transmitido por uma variável cookie. Essa confia, acidentalmente, que o projeto esteja acessível para o usuário listado no menu drop-down. Isso dá a um usuário malicioso a oportunidade de exibir as falhas de um projeto privado selecionado. Esses problemas foram corrigidos na versão 0.17.1-2.2 para a atual distribuição estável (woody) e na versão 0.17.4a-2 para a distribuição instável (sid). A antiga distribuição estável (potato) não foi afetada, uma vez que não contém o pacote mantis. Nós recomendamos que você atualize seus pacotes mantis imediatamente.
Attachment:
pgpPEInOAhfe3.pgp
Description: PGP signature