int(1765)

Boletines de Vulnerabilidades


Múltiples vulnerabilidades en Mantis

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Confidencialidad
Dificultad Avanzado
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado GNU/Linux
Software afectado Mantis 0.x
Mantis 1.x

Descripción

Se han descubierto múltiples vulnerabilidades en Mantis. Las vulnerabilidades son descritas a continuación:

- CAN-2005-2556: Un usuario remoto podría inyectar código SQL arbitrario dentro de consultas SQL.

- CAN-2005-2557: Un usuario remoto podría inyectar código HTML arbitrario en diversas páginas y por tanto provocar un ataque de Cross-site Scripting.

Solución



Actualización de software

Debian Linux

Debian Linux 3.1
Source
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.dsc
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4.diff.gz
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2.orig.tar.gz
Architecture independent
http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-4_all.deb

Identificadores estándar

Propiedad Valor
CVE CAN-2005-2556
CAN-2005-2557
BID

Recursos adicionales

Debian Security Advisory DSA 778-1
http://lists.debian.org/debian-security-announce/debian-security-announce-2005/msg00166.html

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2005-08-23

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT