[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

DSA 905-1: Nuevos paquetes de mantis corrigen varias vulnerabilidades



--------------------------------------------------------------------------
Aviso de seguridad de Debian DSA 905-1                 security@debian.org
http://www.debian.org/security/                             Martin Schulze
22 de noviembre de 2005                 http://www.debian.org/security/faq
--------------------------------------------------------------------------

Paquete        : mantis
Vulnerabilidad : varias
Ámbito         : remoto
Sólo en Debian : no
Ids. de CVE    : CVE-2005-3091 CVE-2005-3335 CVE-2005-3336 CVE-2005-3338
                 CVE-2005-3339
Errores Debian : 330682 335938

Se han descubiertovarios problemas relacionados con la seguridad en
Mantis, un sistema de seguimiento de fallos para la web. El proyecto
Common Vulnerabilities and Exposures identifica los siguientes problemas:

CVE-2005-3091

  Una vulnerabilidad de guiones a través del sitio permitía que los
  atacantes inyectasen HTML o guiones web arbitrarios.

CVE-2005-3335

  Una vulnerabilidad de inclusión de archivo permitía que los atacantes
  remotos ejecutasen código PHP arbitrario y que incluyesen archivos
  locales arbitrarios.

CVE-2005-3336

  Una vulnerabilidad de inyección de SQL permitía que los atacantes
  remotos ejecutasen órdenes SQL arbitrarias.

CVE-2005-3338

  A mantis se le podía engañar para mostrar la dirección de correo real
  (que debiera permanecer oculta) de sus usuarios.

La distribución estable anterior (woody) no se ve afectada por estos
problemas.

Para esta distribución estable (sarge), estos problemas se han corregieo
en la versión 0.19.2-4.1.

Para la distribución inestable (sid), estos problemas se han corregido en
la versión 0.19.3-0.1.

Le recomendamos que actualice el paquete mantis.


Instrucciones de actualización
------------------------------

wget url
        obtiene el archivo.
dpkg -i archivo.deb
        instala el archivo indicado.

Si va a usar el gestor de paquetes apt-get, emplee la línea
para sources.list que se proporciona al final del aviso:

apt-get update
        actualiza la base de datos interna
apt-get upgrade
        instala los paquetes corregidos

Puede usar una actualización automatizada, añadiendo los
recursos del final del aviso para la configuración adecuada.


Debian GNU/Linux 3.1 alias sarge
--------------------------------

  Archivos con el código fuente:

    
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.1.dsc
      Tamaño y suma MD5:      572 b7c83d901ff3cfa1c4cb54502e5519c7
    
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.1.diff.gz
      Tamaño y suma MD5:    36447 e364d9ebb64a2071c3188baabb027dbd
    
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2.orig.tar.gz
      Tamaño y suma MD5:  1298615 042c42c6de3bc536181391c1e9b25db3

  Componentes independientes de la arquitectura:

    
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.1_all.deb
      Tamaño y suma MD5:   895006 4131ad481a77292789af31e00a7960e6


  Estos archivos probablemente se pasen a la distribución estable en
  su próxima revisión.


---------------------------------------------------------------------
Para apt-get:
  deb http://security.debian.org/ stable/updates main
Para dpkg-ftp:
  ftp://security.debian.org/debian-security dists/stable/updates/main
Lista de correo:
  debian-security-announce@lists.debian.org
Información del paquete:
  'apt-cache show <paquete>' y http://packages.debian.org/<paquete>

-- 
        Juan Manuel  Garcia Molina
        Debian GNU/Linux Developer
juanma@debian.org     http://www.debian.org

Attachment: pgpKKXrFD5dZz.pgp
Description: PGP signature


Reply to: