[SEGURANÇA] [DSA-944-1] mantis -- várias vulnerabilidades

To: debian-news-portuguese@lists.debian.org
Subject: [SEGURANÇA] [DSA-944-1] mantis -- várias vulnerabilidades
From: marcocarvalho89@yahoo.com.br (Marco Carvalho)
Date: Thu, 19 Jan 2006 19:26:14 -0300
Message-id: <[🔎] 20060119222614.GA5476@localhost.localdomain>
Reply-to: debian-user-portuguese@lists.debian.org

--------------------------------------------------------------------------
Alerta de Segurança Debian DSA 944-1                  security@debian.org
http://www.debian.org/security/                            Martin Schulze
17 de Janeiro de 2006                  http://www.debian.org/security/faq
--------------------------------------------------------------------------
Essa é uma tradução do DSA (Debian Security Advisory - Alerta de Segurança
Debian) que é enviado para a lista [1]debian-security-announce e, por esse
motivo, há um atraso entre o anúncio original em inglês e esta tradução.
Caso queira receber os alertas em inglês, [2]inscreva-se na lista.

1.http://lists.debian.org/debian-security-announce
2.http://www.debian.org/MaillingLists/subscribe@debian-security-announce
--------------------------------------------------------------------------
Vulnerabilidade  : várias
Tipo de Problema : remoto
Específico Debian: não
CVE ID           : [3]CVE-2005-4238 [4]CVE-2005-4518 [5]CVE-2005-4519
                   [6]CVE-2005-4520 [7]CVE-2005-4521 [8]CVE-2005-4522
                   [9]CVE-2005-4523 [10]CVE-2005-4524

    Vários problemas relacionados à segurança foram descobertos no
Mantis, um sistema de controle de bugs. O projeto [1]Common
Vulnerabilities and Exposures identificou os seguintes problemas:

        * CVE-2005-4238

          Falta de limpeza na inserção permite que atacantes remotos
injetem script web arbitrário ou HTML.
        * CVE-2005-4518

          Tobias Klein descobriu que o Mantis permite que atacantes
remotos transpassem as restrições de tamanho de arquivo para upload.
        * CVE-2005-4519

          Tobias Klein descobriu várias vulnerabilidades de injeção SQL
que permitem que atacantes remotos executem comandos SQL arbitrários.
        * CVE-2005-4520

          Tobias Klein descobriu vulnerabilidades de "port injection"
não especificadas nos filtros.
        * CVE-2005-4521

          Tobias Klein descobriu uma vulnerabilidade de injeção CRLF que
permite que atacantes remotos modifiquem cabeçalhos HTTP e conduzam
ataques de divisão de respostas HTTP ("HTTP response splitting").
        * CVE-2005-4522

          Tobias Klein descobriu várias vulnerabilidades de "cross-site
scripting" (XSS) que permitem que atacantes remotos injetem script web
arbitrário ou HTML.
        * CVE-2005-4523

          Tobias Klein descobriu que o Mantis divulga bugs privados
através de alimentação RSS pública, que permite aos atacantes remotos
obterem informações sensíveis.
        * CVE-2005-4524

          Tobias Klein descobriu que o Mantis não manipula
apropriadamente o "Make note private" quando um bug está sendo
resolvido, o que tem impacto e vetores de ataque desconhecidos,
provavelmente relacionados ao vazamento de informações.

    A antiga distribuição estável ("woody") parece não ser afetada por
estes problemas.

    Para a distribuição estável ("sarge") estes problemas foram
corrigidos na versão 0.19.2-5sarge1.

    Para a distribuição instável ("sid") estes problemas foram
corrigidos na versão 0.19.4-1.

    Recomendamos que você atualize seu pacote mantis.

Corrigido em:

Debian GNU/Linux 3.1 (sarge)

Fonte:
    http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge1.dsc
    http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge1.diff.gz
    http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2.orig.tar.gz
Componente independente de arquitetura:
    http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge1_all.deb

    Checksums MD5 dos arquivos listados estão disponíveis no alerta [11]original.

3.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4238
4.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4518
5.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4519
6.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4520
7.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4521
8.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4522
9.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4523
10.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4524
11.http://lists.debian.org/debian-security-announce/debian-security-announce-2006/msg00017.html
-- 
     
        Marco Carvalho (macs) <marcocarvalho89@yahoo.com.br>
 *******************************************************************
   .''`.   Debian Weekly News: <http://www.debian.org/News/weekly>
  : :'  :  Debian BR.........: <http://debian-br.cipsga.org.br>   
  `. `'`        Equipe de Imprensa e Traduções do Debian-BR
    `-                 O que você quer saber hoje?

Attachment: signature.asc
Description: Digital signature

Reply to:

Prev by Date: [SEGURANÇA][DSA-943-1] perl -- estouro de inteiro
Next by Date: [SEGURANÇA][DSA-945-1] antiword -- arquivo temporário inseguro
Previous by thread: [SEGURANÇA][DSA-943-1] perl -- estouro de inteiro
Next by thread: [SEGURANÇA][DSA-945-1] antiword -- arquivo temporário inseguro
Index(es):
- Date
- Thread