[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

DSA-778-1: Nuevos paquetes de mantis corrigen varias vulnerabilidades

--------------------------------------------------------------------------
Aviso de seguridad de Debian DSA 778-1                 security@debian.org
http://www.debian.org/security/                             Martin Schulze
20 de agosto de 2005                    http://www.debian.org/security/faq
--------------------------------------------------------------------------

Paquete        : mantis
Vulnerabilidad : olvido de sanear la entrada
Ámbito         : remoto
Sólo en Debian : no
Id. de CVE     : CAN-2005-2556 CAN-2005-2557

Se han descubierto dos problemas de seguridad en Mantis, un sistema de
seguimiento de fallos mediante web. El proyecto Common Vulnerabilities
and Exposures identifica los siguientes problemas:

CAN-2005-2556

  Un atacante remoto podía insertar código arbitrario en las sentencias
  SQL.

CAN-2005-2557

  Un atacante remoto podía hacer informes de fallos con errores en el
  código HTML, por tanto, posibles guiones a través del sitio.

La distribución estable anterior (woody) no parece verse afectada por
estos problemas.

Para la distribución estable (sarge), estos problemas se han corregido en
la versión 0.19.2-4.

Para la distribución inestable (sid), estos problemas se han corregido en
la versión 0.19.2-4.

Le recomendamos que actualice el paquete mantis.


Instrucciones de actualización
------------------------------

wget url
        obtiene el archivo.
dpkg -i archivo.deb
        instala el archivo indicado.

Si va a usar el gestor de paquetes apt-get, emplee la línea
para sources.list que se proporciona al final:

apt-get update
        actualiza la base de datos interna
apt-get upgrade
        instala los paquetes corregidos

Puede usar una actualización automatizada, añadiendo los
recursos del pie para la configuración adecuada.


Debian GNU/Linux 3.1 alias sarge
--------------------------------

  Archivos con el código fuente:

    http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.dsc
      Tamaño y suma MD5:      568 645a849f54cada06624b040ca106310f
    
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.diff.gz
      Tamaño y suma MD5:    34601 311c66f058bfd06ef02d97dc0dad4880
    
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2.orig.tar.gz
      Tamaño y suma MD5:  1298615 042c42c6de3bc536181391c1e9b25db3

  Componentes independientes de la arquitectura:

    
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4_all.deb
      Tamaño y suma MD5:   895224 afa2f33377b412779d5710e94b5f68e3

  Estos archivos probablemente se pasen a la distribución estable en
  la próxima actualización.


---------------------------------------------------------------------
Para apt-get:
  deb http://security.debian.org/ stable/updates main
Para dpkg-ftp:
  ftp://security.debian.org/debian-security dists/stable/updates/main
Lista de correo:
  debian-security-announce@lists.debian.org
Info paquete:
  'apt-cache show <paquete>' y http://packages.debian.org/<paquete>


-- 
        Juan Manuel  Garcia Molina
        Debian GNU/Linux Developer
juanma@debian.org     http://www.debian.org

Attachment: pgpFEvUECNFTZ.pgp
Description: PGP signature

Reply to: