Csomag: mantis
Sebezhetőség: jogosultság kiterjesztés
Probléma típus: távoli
Debian-specifikus: nem
Egy a felhasználói jogosultságokkal kapcsolatos problémát találtak a mantis csomagban, ami egy PHP alapú hibakövető rendszer. A Mantis rendszer nem ellenőrzi, hogy a felhasználó számára engedélyezett-e, hogy megtekintse a hibajegyet, de megjeleníti azt, ha a felhasználó egy érvényes hibaazonosítót (bug id) megad.Egy másik hiba a mantisban lehetővé teszi, hogy a 'View bugs'/'Hibák megtekintése' oldal kilistázza a hibákat a publikus és privát projektekben amikor a projektekhez nem is fér hozzá az aktuális felhasználó.
A probléma javítva van a 0.17.1-2.5 verziójú csomagban a jelenlegi stabil terjesztésben (woody), és a 0.17.5-2 verziójú csomagban az unstabil terjesztéshez (sid). A régebbi stabil terjesztés, a potato nem érintett ebben a hibában. lévén az nem tartalmazza a mantis csomagot.
Javasoljuk frissítsd a mantis csomagjaid.
Martin Schultze levele a debian-security-announce listán.
A frissítésrõl szóló FAQ-nk.