2012年6月25日

[debian-users:56219] [Translate] [SECURITY] [DSA 2500-1] mantis security update

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- -------------------------------------------------------------------------
Debian Security Advisory DSA-2500-1 security@xxxxx
http://www.debian.org/security/ Florian Weimer

June 24, 2012 http://www.debian.org/security/faq
- -------------------------------------------------------------------------

Package : mantis
Vulnerability : 複数
Problem type : リモート
Debian-specific: いいえ
CVE ID : CVE-2012-1118 CVE-2012-1119 CVE-2012-1120 CVE-2012-1122
CVE-2012-1123 CVE-2012-2692

複数の欠陥が、問題追跡システム Mantis に発見されました。

CVE-2012-1118
Mantis を、配列値に対して private_bug_view_threshold 設定オプショ
ンをセットしてインストールした場合、バグ閲覧権限が適切に動作しま
せん。

CVE-2012-1119
Copy/clone バグレポート動作が監査ログの対象になっていません。

CVE-2012-1120
delete_bug_threshold/bugnote_allow_user_edit_delete アクセスチェッ
クは、SOAP API での write アクセス権を持つユーザから迂回可能です。

CVE-2012-1122
Mantis は、プロジェクト間でバグを移動した場合にアクセスチェック処
理を誤ります。

CVE-2012-1123
SOAP クライアントでパスワードフィールドが空で送信してくる場合、
Mantis の管理者として認証されてしまいます。

CVE-2012-2692
Mantis は、ユーザが報告された問題から添付ファイルを削除する際に、
delete_attachments_threshold パーミッションをチェックしていません。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題は
バージョン 1.1.8+dfsg-10squeeze2 で修正されています。


テスト版 (wheezy) および不安定版 (unstable) ディストリビューションでは、
これらの問題はバージョン 1.2.11-1 で修正されています。

直ぐに mantis パッケージをアップグレードすることを勧めます。

Debian Security Advisories に関する説明、これらの更新をシステムに適用
する方法、FAQ などは http://www.debian.org/security/ を参照ください。

Mailing list: debian-security-announce@xxxxx
------>8------------>8------------>8------------>8------------>8-
--
Seiji Kaneko skaneko@xxxxx
---------------------------------------------------------

投稿者 xml-rpc : 2012年6月25日 22:34
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/111076
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。