-------------------------------------------------------------------------- Aviso de seguridad de Debian DSA 778-1 security@debian.org http://www.debian.org/security/ Martin Schulze 20 de agosto de 2005 http://www.debian.org/security/faq -------------------------------------------------------------------------- Paquete : mantis Vulnerabilidad : olvido de sanear la entrada Ámbito : remoto Sólo en Debian : no Id. de CVE : CAN-2005-2556 CAN-2005-2557 Se han descubierto dos problemas de seguridad en Mantis, un sistema de seguimiento de fallos mediante web. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas: CAN-2005-2556 Un atacante remoto podía insertar código arbitrario en las sentencias SQL. CAN-2005-2557 Un atacante remoto podía hacer informes de fallos con errores en el código HTML, por tanto, posibles guiones a través del sitio. La distribución estable anterior (woody) no parece verse afectada por estos problemas. Para la distribución estable (sarge), estos problemas se han corregido en la versión 0.19.2-4. Para la distribución inestable (sid), estos problemas se han corregido en la versión 0.19.2-4. Le recomendamos que actualice el paquete mantis. Instrucciones de actualización ------------------------------ wget url obtiene el archivo. dpkg -i archivo.deb instala el archivo indicado. Si va a usar el gestor de paquetes apt-get, emplee la línea para sources.list que se proporciona al final: apt-get update actualiza la base de datos interna apt-get upgrade instala los paquetes corregidos Puede usar una actualización automatizada, añadiendo los recursos del pie para la configuración adecuada. Debian GNU/Linux 3.1 alias sarge -------------------------------- Archivos con el código fuente: http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.dsc Tamaño y suma MD5: 568 645a849f54cada06624b040ca106310f http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.diff.gz Tamaño y suma MD5: 34601 311c66f058bfd06ef02d97dc0dad4880 http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2.orig.tar.gz Tamaño y suma MD5: 1298615 042c42c6de3bc536181391c1e9b25db3 Componentes independientes de la arquitectura: http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4_all.deb Tamaño y suma MD5: 895224 afa2f33377b412779d5710e94b5f68e3 Estos archivos probablemente se pasen a la distribución estable en la próxima actualización. --------------------------------------------------------------------- Para apt-get: deb http://security.debian.org/ stable/updates main Para dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main Lista de correo: debian-security-announce@lists.debian.org Info paquete: 'apt-cache show <paquete>' y http://packages.debian.org/<paquete> -- Juan Manuel Garcia Molina Debian GNU/Linux Developer juanma@debian.org http://www.debian.org
Attachment:
pgpFEvUECNFTZ.pgp
Description: PGP signature