-------------------------------------------------------------------------- Aviso de seguridad de Debian DSA 905-1 security@debian.org http://www.debian.org/security/ Martin Schulze 22 de noviembre de 2005 http://www.debian.org/security/faq -------------------------------------------------------------------------- Paquete : mantis Vulnerabilidad : varias Ámbito : remoto Sólo en Debian : no Ids. de CVE : CVE-2005-3091 CVE-2005-3335 CVE-2005-3336 CVE-2005-3338 CVE-2005-3339 Errores Debian : 330682 335938 Se han descubiertovarios problemas relacionados con la seguridad en Mantis, un sistema de seguimiento de fallos para la web. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas: CVE-2005-3091 Una vulnerabilidad de guiones a través del sitio permitía que los atacantes inyectasen HTML o guiones web arbitrarios. CVE-2005-3335 Una vulnerabilidad de inclusión de archivo permitía que los atacantes remotos ejecutasen código PHP arbitrario y que incluyesen archivos locales arbitrarios. CVE-2005-3336 Una vulnerabilidad de inyección de SQL permitía que los atacantes remotos ejecutasen órdenes SQL arbitrarias. CVE-2005-3338 A mantis se le podía engañar para mostrar la dirección de correo real (que debiera permanecer oculta) de sus usuarios. La distribución estable anterior (woody) no se ve afectada por estos problemas. Para esta distribución estable (sarge), estos problemas se han corregieo en la versión 0.19.2-4.1. Para la distribución inestable (sid), estos problemas se han corregido en la versión 0.19.3-0.1. Le recomendamos que actualice el paquete mantis. Instrucciones de actualización ------------------------------ wget url obtiene el archivo. dpkg -i archivo.deb instala el archivo indicado. Si va a usar el gestor de paquetes apt-get, emplee la línea para sources.list que se proporciona al final del aviso: apt-get update actualiza la base de datos interna apt-get upgrade instala los paquetes corregidos Puede usar una actualización automatizada, añadiendo los recursos del final del aviso para la configuración adecuada. Debian GNU/Linux 3.1 alias sarge -------------------------------- Archivos con el código fuente: http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.1.dsc Tamaño y suma MD5: 572 b7c83d901ff3cfa1c4cb54502e5519c7 http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.1.diff.gz Tamaño y suma MD5: 36447 e364d9ebb64a2071c3188baabb027dbd http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2.orig.tar.gz Tamaño y suma MD5: 1298615 042c42c6de3bc536181391c1e9b25db3 Componentes independientes de la arquitectura: http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.1_all.deb Tamaño y suma MD5: 895006 4131ad481a77292789af31e00a7960e6 Estos archivos probablemente se pasen a la distribución estable en su próxima revisión. --------------------------------------------------------------------- Para apt-get: deb http://security.debian.org/ stable/updates main Para dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main Lista de correo: debian-security-announce@lists.debian.org Información del paquete: 'apt-cache show <paquete>' y http://packages.debian.org/<paquete> -- Juan Manuel Garcia Molina Debian GNU/Linux Developer juanma@debian.org http://www.debian.org
Attachment:
pgpKKXrFD5dZz.pgp
Description: PGP signature