Csomag: mantis
Sebezhetőség: oldalak közti kód végrehajtás
Probléma típus: távoli
Debian-specifikus: nem
Joao Gouveia fedezett fel egy inicializálatlan változót, amit nem biztonságosan használ a mantis fájl beszúrásra, ami egy php alapú hibakövető rendszer. A Debian Biztonsági Csapata talált még további hasonló problémákat is. Amikor ezek a feltételeket kijátssza, egy távoli felhasználó megteheti, hogy tetszőleges kódot futtasson a webszerver user id-je alatt, azon a hoszton, ahol megy a webszerver és helyet ad a mantis rendszernek.A problémát javítja a 0.17.1-2.1 verzió az aktuális stabil disztribúcióban (woody), és a 0.17.3-3 verzió, az unstabil disztribúcióban (sid). A régi stabil disztribúció (potato) nem érintett lévén nem tartalmazza az mantis csomagot.
Javasoljuk a mantis csomagok azonnali frissítését.
Martin Schultze levele a debian-security-announce listán.
A frissítésről szóló FAQ-nk.