Manual de TestLink
Contents
1. Sg_default_email_on_bugnote Preferencias por defecto para permitir recibir correos electr nicos cuando se agregan notas a los bugs es ON 21 Austral Av Rafael N ez 3612 2do piso Oficina 11 C rdoba Argentina TEL 0054 0351 4817951 Sg_default_email_on_status Sg_default_email_on_priority Las preferencias por defecto para permitir recibir correos electr nicos cuando el estado o la prioridad del bug han cambiado es ON Esta opci n no est implementada Sg_default_email_on_new_mini mum_severity Sg default_email_on_assigned _ minimum_severity Sg default_email_on feedback _ minimum_severity Sg default_email_on_resolved_ minimum_severity Sg default_email_on_closed_mi nimum_severity Sg default_email_on_reopened _ minimum_severity Sg_default_email_on_bugnote_ minimum_severity Las preferencias por defecto para habilitar el filtrado basado en la gravedad del bug Estos corresponden a los ajustes lt status gt email_on_ El valor predeterminado es todo Sg_default_email_on_bugnote_ minimum_severity Las preferencias por defecto para habilitar el filtrado basado en la gravedad del bugnote Estos corresponden al ajuste email_on_bugnote El valor es todo Sg default_email_on_status_min imum_severity Sg default_email_on_priority_mi nimum_severity Las preferencias por defecto para habilitar el filtrado basado en la gravedad del bug Estos corresponden a lo2. Sg_administrator_email E mail del administrador Se le pedira al usuario en caso de errores que requieran la intervenci n del administrador Por ejemplo errores SQL sysadmin example com Sg webmaster_email E mail del web master Se muestra en la parte inferior de todas las p ginas de Mantis webmaster example com Sg from_email La direcci n de e mail que se utilizar para el env o de todos 12 Austral Av Rafael N ez 3612 2do piso Oficina 11 C rdoba Argentina TEL 0054 0351 4817951 los emails por Mantis noreply example com Sg_to_email Eliminada en la versi n 0 19 0 Los correos electr nicos van a ser enviados a esta direcci n de e mail Puede ser un correo electr nico o una direcci n de archivo que se utilizar para archivar las notificaciones Si no es necesaria entonces se puede establecer en nada Sg_return_path_email La direcci n de e mail para recibir los mensajes devueltos Sg_enable_email_notification Seleccione ON para permitir notificaciones de correo electr nico predeterminado OFF para desactivarlas Hasta la versi n 0 18 0a4 la opci n OFF podr a desactivar todos los correos electr nicos enviados por Mantis En la versi n 0 18 0a5 esto fue cambiado Sg_allow_signup Off desactiva la verificaci n de email por defecto es On Sg_send_reset_password Off activada por defecto desactiva la verificaci n de
3. ccccccccccecssstssesecececseseaeseeseeseeseeaees 56 8 9 2004 01 Varias vulnerabilidades c ce cecesececsenceceeseececseaeececseeeeceeueeeceeaaeeeceeeeeceesaeeecsesaeeeceeaeeceesnseseaas 56 TEL 0054 0351 4817951 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina ee 1 Informaci n general Mantis es un sistema web de control de errores Actualmente se encuentra en desarrollo y se considera una versi n beta Est escrito en el lenguaje de scripting PHP y requiere una base de datos MySQL y un servidor web Mantis ha sido instalado en Windows MacOS OS 2 y en una variedad de sistemas operativos Unix Funciona en cualquier navegador web y se encuentra liberado bajo los t rminos de la GNU General Public License GPL Es libre de utilizar y modificar como as tambi n de distribuirlo siempre y cuando se respeten los t rminos de distribuci n de la GPL 1 1 Caracter sticas y Beneficios Mantis es un software e Libre e F cil de instalar y simple de navegar La complejidad se otorga en capas e Web e Plataforma independiente e M ltiples proyectos e M ltiples idiomas e Env o de correo electr nico e B squeda simple e Visualizaci n de filtros e PHP4 e M nimo de desorden sin gr ficos animaciones y Javascrip 1 2 Objetivos Los objetivos de este proyecto son producir y mantener un sistema ligero de control de bugs Las caracter sticas adiciones son agregadas p
4. 40 TEL 0054 0351 4817951 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina a 5 Soluci n de problemas Troubleshooting En esta secci n se describen sugerencias para solucionar problemas de instalaci n de Mantis 5 1 Instalaci n Installation El principal punto a considerar despu s de instalar Mantis son los errores de base de datos Es necesario que se asegure de que ha ejecutado las mejoras administrativas correspondientes en http www example com mantis admin upgrade php 5 2 JPGRAPH Para la soluci n de problemas jpgraph siga los siguientes pasos 1 jpgraph se ejecutar en su propio equipo En el directorio src de jpgraph se encuentra un subdirectorio Ejemplo que contiene una serie de pruebas test_suit php Se recomienda ejecutar este programa para garantizar que la fuente jpgraph y otros ajustes son correctos en jpg config inc M s detalles en el sitio de jpgraph http www aditus nu jpgraph Algunos ajustes de cuenta a jpgraph utiliza fuentes TrueType En RedHat Linux normalmente se encuentran en usr X11R6 lib X11 fonts truetype si los instala desde la distribuci n Tambi n se puede descargar desde el sitio web de jpgraph b jpgraph pueden tener problemas para averiguar qu versi n de GD est instalado La detecci n autom tica no funciona correctamente en RH8 0 esto puede ser forzado por cambiar la definici n de USE_LIBRARY_GD2 de auto a f
5. Define Visor 10 REPORTERO 25 Updater 40 DESARROLLADOR 55 manager 70 Administrador 90 config _defaults_inc php Este archivo incluye los valores predeterminados para las enumeraciones Las opciones de configuraci n que estan por defecto aqui se utilizan en la especificaci n de las enumeraciones activas sin embargo las cadenas incluidas para ellas son s lo para efectos de la documentaci n y no se muestran al usuario Por lo tanto si una entrada no se encuentra en la enumeraci n correspondiente localizada es decir 70 manager entonces se va a imprimir al usuario como a 70 Sg_access_levels enum_string 90 administrador 70 gerente 55 desarrollador 40 actualizador 25 reportero 10 visor lang strings_german txt Los lenguajes espec ficos contribuyen a la cadena localizada de las enumeraciones Pero la lista maestra es la enumeraci n en configs los que est n en los archivos de idioma s lo sirven para encontrar el equivalente para una entrada Por lo tanto si un usuario cambia la configuraci n para tener s lo 2 tipos de usuarios desarrollador y administrador s lo a ellos les pedir los usuarios incluso si las enumeraciones de los archivos de idioma todav a incluyen la lista completa Ss access levels enum_string 10 uno 25 Reportero 40 Updater 55 Entwickler 70 Manager 90 Administrador C mo pueden ser personalizados custom_constant_inc php Este archivo es compatible con el p
6. 3 9 JpGraph Jpgraph es un paquete que se utiliza para representar los gr ficos Es utilizado por Mantis para proporcionar a los usuarios los gr ficos que recogen el estado de los bugs de la base de datos Las siguientes son las opciones de configuraci n que se relacionan con la misma Sg_use jpgraph Habilitar el uso de jpgraph El valor predeterminado es OFF Sg jpgraph_path Ruta de acceso al directorio base jpgraph debe agregar al final Para utilizar el complemento Jpgraph necesita el paquete Jpgraph que puede colocarlo donde desee pero tiene que configurar el var en jpgraph php 3 10 Fecha Date Estas variables controlan c mo se muestra la fecha por defecto es el formato de EE UU Sg_short_date_format Este formato se utiliza en las paginas de anuncios de bugs El valor predeterminado es m d y Sg_normal_date_format Este formato se utiliza en la vista y actualizaci n de las paginas de bugs nota de bugs gesti n de secciones y secci n de noticias El valor predeterminado es m d y H M Sg_complete_date_ format Este formato se utiliza en la parte superior de cada p gina hora actual y los correos electr nicos que se env an El valor por defecto es m d y H M Ver el punto Date en el manual de PHP para instrucciones detalladas 19 TEL 0054 0351 4817951 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina a
7. Sg_hostname check_access DEVELOPER print_html_top print_head_top print_title Sg_window_title print_css g_css_ include file include g_meta_include file gt lt link rel STYLESHEET type text css href lt php echo Phorum_get_file_name css gt gt lt meta name Phorum Version content lt php echo Phorumver gt gt lt meta name Phorum DB content lt php echo SDB gt type gt gt lt meta name PHP Version content lt php echo phpversion gt gt lt php print_head_bottom print_body_top print_header Sg _page title print_top_page g_top_include_page print_login_info print_menu chdir Sg_Phorum_path gt lt div class PhorumForumtTitle gt lt strong gt lt php echo SForumName gt lt strong gt lt div gt lt br gt Es copiar y pegar desde los archivos normales de mantis con ajustes para evitar errores Para una mayor seguridad en la limitaci n de los usuarios al acceso al foro puede colocar la verificaci n del nivel de acceso despu s de la llamada db_connect para ello debe descomentar esta l nea check_access DEVELOPER b Pie de p gina Cambie usr local apache htdocs mantis Phorum include footer php por las siguientes l neas lt br gt lt div align center gt lt a href http Phorum org gt lt img src images button gif width 90 height 30 alt Phorum org border 0 gt lt a gt lt div gt lt php chdi
8. 3 11 Novedades News Estas opciones se utilizan para controlar la consulta que selecciona las entradas de noticias que se muestran Sg_news_limit_method Limitar la entrada de noticias que se muestran por el numero de entradas BY_LIMIT valor por defecto o por fecha BY_DATE Sg_ news view_limit El l mite para el n mero de entradas de noticias que se muestran Esta opci n s lo se utiliza si Sg_news_limit_method se establece en BY_LIMIT Sg_ news view_limit_days Especifica la fecha a partir de la cual las noticias no se muestran Esto se utiliza si Sg_news_limit_method se establece en BY_DATE Sg_private_news_threshold Especifica el nivel de acceso requerido para ver las noticias privadas El valor por defecto es el desarrollador 3 12 Preferencias por defecto Default Preferences Sg_default_new_account_ access _ level Es el nivel de acceso de usuario que se otorga cuando su cuenta se crea por correo electr nico por defecto es periodista Buscar en constant_inc php para otros valores Sg_default_bug_view_ status El valor por defecto de visi n del estado para el nuevo bug es VS_PUBLIC Introducido en la version 0 19 0 Sg_default_bugnote_view_ status El valor por defecto de la vista del estado de la nueva bugnote es VS_PUBLIC Introducido en la versi n 0 19 0 Sg_default_reminder_view _status El valor por defecto de la vista del estado del nuevo recordatorio es VS
9. E TEL 0054 0351 4817951 3 A continuaci n se deben crear las tablas de bases de datos necesarias y una configuraci n b sica de archivo Desde su servidor web acceda a http yoursite mantis admin install php Esta p gina le guiar los siguientes pasos a Comprobar los par metros b sicos para el servidor web b Mueva para el tipo base de datos y la posici n y un par de usuario y contrase a de base de datos Para la instalaci n se puede proporcionar tambi n un par administrativo de usuario contrase a El usuario operador requiere clasificar agregar actualizar y eliminar privilegios Para la instalaci n tambi n son requeridos los privilegios de seleccionar crear modificar y abandonar c Crear la base de datos y tablas ADVERTENCIA Se crea una cuenta predeterminada de administrador El usuario es administrador y la contrase a es root Utilice esta opci n cuando inicia por primera vez sesi n en Mantis Se debe modificar y crear al menos una cuenta de administrador Inmediatamente despu s de que deshabilite o elimine esta cuenta predeterminada puede volver a crearla pero tendr que borrar la cuenta para prevenir que la cookie string sea utilizada para enga ar al paquete Se aconseja cambiar el nombre o eliminarlo de forma permanente d Escribir un archivo b sico config_inc php para definir la base de datos e Realizar algunas comprobaciones posteriores a la instalaci n en el sistema 4 La siguiente part
10. En un nuevo archivo custom_strings_inc php en el directorio mantisbt principal lt Php if lang _get current alem n Ss status_enum_string 10 neu 20 Rckmeldung 30 anerkannt 40 besttigt 50 zugewiesen 60 zu Testen 80 behoben 90 geschlossen else s_status_enum_string 10 nueva 20 comentarios 30 reconoce de 40 a os confirmada 50 asignado 60 para ser probado 80 resuelto 90 cerrado Ss to be tested _bug_button N mero listo para la prueba Ss to be tested _bug_title Set Edici n listo para la prueba Ss email_notification_title_for_status bug to be tested El siguiente problema es listo para ser probado gt Una vez hecho esto debe definir las configuraciones necesarias en el archivo config_inc php existente en el directorio mantisbt principal Sg status _enum_string 10 new 20 feedback 30 acknowledged 40 confirmed 50 assigned 60 to be tested 80 resolved 90 closed Status color additions Sg_status_colors to be tested ACE7AE El ultimo paso es a adir el estado con cualquier flujo definido de trabajo en config_inc php Sg_status_enum_workflow NEW_ 10 new 20 feedback 30 acknowledged 40 confirmed 50 assigned 60 to be tested Sg_ status _enum_workflow FEEDBACK 10 new 20 feedback 30 acknowledged 40 confirmed 50 assigned 60 to be tested Sg status _enum_workflow ACKNOWLEDGED 20 feedback 30 acknowledged 40 confi rmed 50 assigned 60 to be tested S
11. Esta configuraci n controla el nivel de acceso requerido para promover un bug a un nuevo estado una vez que se abre Sg_set_status_threshold es una matriz indexada por el valor del estado que permite una configuraci n distinta para cada estado Su valor predeterminado es en blanco Sg_allow_close_immediately Si se establece los bugs pueden ser resueltos y cerrados en una sola accion El valor predeterminado es OFF Sg_allow_reporter_close Si se establece le permitir cerrar sus propios bugs independientemente de su nivel de acceso El valor predeterminado es OFF Sg_allow_reporter_reopen Si se establece le permitir volver a abrir sus propios bugs una vez resueltos independientemente de su nivel de acceso Esto permite que el reportero no est de acuerdo con la resoluci n El valor predeterminado es ON 3 19 Filtros Filters Sg filter_by_custom_fields Mostrar los campos personalizados en el cuadro de di logo del filtro y el uso de estos en el filtrado El valor predeterminado es ON Sg filter_custom_fields per_row El n mero de los campos personalizados para mostrar por fila por defecto es 7 debe ser mayor o igual a 7 Sg_view_filters SIMPLE_DEFAULT Controla la visualizaci n de las p ginas del filtro Los valores posibles son 27 Austral Av Rafael N ez 3612 2do piso Oficina 11 C rdoba Argentina TEL 0054 0351 4817951 e S
12. periodista bugnotes y controlador ON threshold_min y threshold_max se utilizan para enviar mensajes a todos los miembros del proyecto cuyo estado es mayor o igual a threshold_min e inferior o igual a threshold_max El envio de 15 TEL 0054 0351 4817951 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina a mensajes a todo el mundo estableceria estos a NADIE Para enviar a todos los desarrolladores y superiores debe utilizar Desarrolladores y NADIE respectivamente Sg_notify_flags Define las banderas de notificaci n que son diferentes a los valores por defecto definidos en Sg default_notify_flags El c digo siguiente reemplaza el valor por defecto mediante la desactivaci n de las notificaciones a los autores y usuarios de control del bug en la presentaci n de uno nuevo OFF array g_notify_flags nuevo bugnotes gt vigilar gt OFF Las acciones disponibles incluyen e Nuevo un nuevo bug se ha a adido e Reabierto el bug ha sido reabierto e Borrado un bug se ha suprimido e Propietario el bug ha sido asignado a un nuevo titular asignado en la versi n 0 18 e Bugnote un bugnote se ha a adido a un bug e Patrocinador el patrocinio del bug ha cambiado a adir eliminar o actualizar Agregado en la versi n 0 19 e Relaci n una relaci n para el bug ha cambiado a adir eliminar o actualizaci n A adido en la versi n 0 19 Adem s u
13. to Si se establece un estado luego de un chequeo el issue es colocado en ese estado especificado pero si se pone en OFF por defecto el estado del issue no se ve afectado Sg_source_control_regexp Es la expresi n regular para detectar los identificadores de los issues dentro de un comentario Ver preg_match_all para obtener m s detalles sobre la configuraci n de un patr n El valor por defecto es bissue 0 1 d b i 3 29 Campos Personalizados Custom Fields Sg manage_custom fields threshold El nivel de acceso necesario para gestionar los campos personalizados Por defecto es ADMINISTRADOR Sg custom _field_link_threshold El Nivel de acceso necesario para agregar un campo personalizado al proyecto Por defecto es MANAGER SSg custom _field_edit_after_create Este indicador determina si se debe iniciar la edici n de un campo personalizado inmediatamente despu s de crearlo por defecto ON o volver a la lista 33 TEL 0054 0351 4817951 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina a 3 30 Mi configuraci n de Vista My View Settings Sg_my_view_boxes Es una matriz de valores que define el orden en que las cajas se muestran Una caja que no se muestra puede tener el valor O Los valores por defecto son g_my_view_boxes array asignados 1 sin asignar 2 reportado 3 resuelto 4 reci n_modificado
14. 6 que puede ser descargada desde http www mantisbt org download php 57
15. a la base de datos El usuario debe tener acceso de lectura escritura a la base de datos de Mantis El nombre de usuario por defecto es root Sg_db_password Contrasefia para el usuario especificado por defecto esta vacia Sg_database_name Nombre de la base de datos que contiene las tablas de Mantis Sg_db_ type Experimental Define el tipo de base de datos El valor por defecto es el apoyo mysql Las opciones experimentales incluyen mssql postgres odbc_mssql postgres64 postgres7 y pgsql Introducido en 0 19 0 3 2 Servidor Web Web Server Sg_use_iis Tiene que establecerlo en On si utiliza IIS de Microsoft Esto ayuda a corregir un error en IIS No es necesario que cambie el valor por defecto ya que detectara autom ticamente el software del servidor IIS Este problema se conoci en enero de 1999 y no se ha resuelto ERROR Q176113 3 3 Camino Path Estos valores son importantes para una vinculaci n adecuada dentro de Mantis En la mayor a de los escenarios los valores por defecto deberian funcionar bien y no habria necesidad de reemplazarlos A continuaci n se muestra una tabla con los valores correspondientes 11 TEL 0054 0351 4817951 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina an Sg_path La URL de instalaci n es como se ve desde el navegador web lo que va en el campo URL con ejemplo https ww
16. cargar los archivos 23 TEL 0054 0351 4817951 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina an Sg_file_upload_ftp_pass Contrase a a usar cuando se loguee en el servidor FTP Sg_max file_size El tama o m ximo de archivo que puede ser subido El valor por defecto es de 5 MB El tama o se ve afectado por el valor especificado en php ini El valor de PHP es generalmente 2Mb Sg_allowed_files Los archivos que se admiten Deben ir separados por comas ejemplo Zip bmp gif jpg txt Si Sg_allowed_files se llena con otros tipos de archivos no ser n permitidos Si est vac o asumir que se aceptan todos los archivos de la lista Sg_disallowed_files Sg_disallowed_files Los archivos que no se admiten Estos deben ir separados por comas por ejemplo Php php3 phtml html clase java exe pl Sg_disallowed_file tiene prioridad sobre Sg allowed_files Se recomienda deshabilitar todas las extensiones que pueden ser ejecutadas por el servidor Sg _document_files prefix Prefijo para dar a los archivos subidos al guardarse en el directorio de carga Esto se utiliza para los documentos que se adjuntan a los proyectos con el fin de ser capaces de diferenciarlos de los archivos que se adjuntan a los bugs El nombre del fichero tiene el siguiente formato prefijado projectcode nombre de archivo El valor por defecto es doc Sg_preview_attachment
17. check_access_to_project Sp _project_id St_project_view_state get_project_field Sp_project_id view_state Administrators ALWAYS pass If get_current_user_field access_level gt ADMINISTRATOR return public project accept all users if PUBLIC St_project_view_state return 52 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina KA 2 TEL 0054 0351 4817951 else private projects require users to be assigned St_project_access_level get_project_access_level Sp_project_id 1 means not assigned kick them out to the project selection screen if 1 St _project_access level print_header_redirect login_select_proj_page php else passed return Y en view_all_bug_page php reemplace las l neas siguientes t_where_clause else t_where_clause WHERE project_id g project_cookie_val fin de selecci n de proyectos Con las siguientes l neas t_where_clause else check_access_to_ project g_project_cookie_val t_where_clause WHERE project_id g project_cookie_val H fin de selecci n de proyectos Prueba de vulnerabilidad Para aprovecharla el atacante tiene que conocer el project_id que desea atacar esto no es dif cil de lograr ya que es project_id a 1 y se incrementa en uno para cada proyecto creado puede probar cada n mero hasta que lo encuentre El siguiente paso es acced
18. comando mysqldump U lt username gt P lt password gt lt database name gt gt lt output file gt Para restaurar un respaldo deber tener limpia la base de datos y ejecutar mysql U lt username gt P lt password gt lt database name gt lt lt input file Usted tambi n puede realizar ambas utilizando phpMyAdmin Una buena idea es hacer una escritura de respaldo y ejecutarlo regularmente por Cron o un calendario de tareas para Windows ver WinCron http www wincron com Utilizar la fecha actual en el nombre del fichero puede prevenir sobre escritura y permite catalogar m s f cil Los respaldos siempre deben ser realizados antes de una actualizaci n Aseg rese de hacer una copia de seguridad del c digo de Mantis que incluye sus configuraciones y posiblemente personalizaciones los archivos adjuntos bug documentos del proyecto y el contenido de la base de datos 2 2 Actualizaciones Se aconseja antes de actualizar hacer una copia del c digo los datos y las configuraciones Esto incluye el directorio de Mantis sus anexos y la base de datos Si el usuario que va a realizar la actualizaci n no est familiarizado con PHP no se recomienda utilizar versiones no lanzadas de Mantis es decir versiones CVS Estas no son para uso general y no podr a ser un camino f cil de actualizaci n Es preferible crear un nuevo directorio para cada versi n Esto asegura que todos los archivos est n intactos y que no hay una ruta de acceso
19. l nea 277 En la parte superior de la funci n esta la l nea global Sg_project_cookie_val g_string_cookie_val Para leer global Sg_string_cookie_val Sg path g_project_cookie_val Despu s de la l nea IMPRIMIR lt a href Sg_summary_page gt s_summary_link lt a gt Coloque esta linea IMPRIMIR lt a href Sg_path Phorum gt Phorum lt a gt Se puede esconder si desea que solo usuarios con un cierto nivel del acceso vean este link if access_level_check_greater_or_equal DEVELOPER PRINT lt a href Sg_path Phorum gt Phorum lt a gt Esto le permitira a los desarrolladores solamente ver el link Phorum Pero no hay mayor seguridad ya que si un usuario adivina la URL podra tener acceso facilmente a los foros 5 Integraci n con Mantis El foro ya se puede utilizar pero no existen v nculos con el resto de Mantis a Encabezado Abra usr local apache htdocs mantis Phorum include header php Se recomienda hacer una copia de seguridad porque se realizaran grandes modificaciones Vuelva a colocar el archivo completo con las siguientes l neas lt php Sg_mantis_path usr local www data mantis 0 17 3 Sg Phorum_path getcwd chdir Sg_mantis_path include g_mantis_path core_APl php 43 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina TEL 0054 0351 4817951 login_cookie_check db_connect Sg_database_name Sg_db_password Sg_db_username
20. n de nuevas cuentas Todav a se pueden encontrar inconvenientes al crear un nuevo usuario mediante LDAP ya que debe crear la entrada LDIF a LDAP y registrarse para obtener una nueva cuenta si ambos se alinean correctamente se proceder de autenticaci n Email La direcci n de correo electr nico es solicitada en la base de datos LDAP si la autenticaci n est configurada para usar LDAP en lugar del registro de usuario en la entrada de la base de datos 4 5 Funciones personalizadas Custom Functions Las funciones habituales se utilizan para extender la funcionalidad de Mantis integrando m s la tramitaci n Esto permite al administrador del sistema cambiar la funcionalidad necesidad de volver a escribir partes de los elementos internos del c digo Las versiones del usuario de estas funciones se colocan en un archivo en la ra z del directorio de Mantis llamado custom_functions_inc php Es el mismo lugar que el archivo config_inc php En el procesamiento normal el sistema buscar reemplazar estas funciones y ejecutarlas en lugar de las funciones por defecto Las habituales tienen nombres como custom_function_override_descriptive_name donde se describe la funci n particular La forma m s sencilla para crear una funci n personalizada es copiar la que es por defecto llamada custom_function_default_descriptive name desde core custom_function_api php en el archivo de sustituci n custom_functions_inc php y luego cambiarle el nombre La
21. para reflejar la configuraci n e Mantis se instala en usr local apache htdocs mantis e El anuncio an nimo estar en usr local apache htdocs products p1 Esto es accesible a trav s de http yourdomain products p1 report anon page php Pasos 1 Requisitos previos Es necesario que Mantis est instalado y funcionando correctamente 2 Copiar los archivos Instalar los archivos para descomprimir un directorio web accesible no debe ser el de Mantis En Unix utilice el comando tar tar zxvf anonymous_report tar gz Y en Windows puede usar Winzip 46 Av Rafael N ez 3612 DAustral oa D See Se Se gentina E TEL 0054 0351 4817951 3 Configuraci n de usuario An nimo Es necesario crear un usuario con privilegios al menos una vez 4 Obtener ID de usuario Esta informaci n se puede obtener en Administrar gt Editar usuario El ID estar por ejemplo en http mysite mantis manage user page php3 f id 5 Obtenga la identificaci n del proyecto Tome el ID del proyecto que desea para entrar debe ir a Administrar gt Gestionar Proyectos gt Editar El ID del proyecto estar por ejemplo en http mysite mantis manage_proj_edit_page php3 f_project_id lt PROJECT_ID gt 6 A Configurar report_anon_page php Es el archivo al que los usuarios ir n por los informes de bugs Es posible que desee modificar la HTML para la empresa o marca del proyecto y agregar instrucciones m s detalladas Es necesario que edite la parte s
22. posibles los costos en hardware Tiempo Si el usuario ya ha realizado una instalaci n similar rondar los 60 minutos de no ser as alrededor de 1 a 8 horas dependiendo de los problemas que encuentre PHP No es necesario saber de PHP para usar Mantis Este es un lenguaje de programaci n simple que se asemeja a Cy es muy f cil de aprender MySQL La administraci n b sica de MySQL es necesaria como m nimo debe ser capaz de crear un nuevo usuario dar permisos a los usuarios y loguearse Servidor web El servidor web debe ser configurado para manejar los archivos PHP Software Requiere PHP 4 0 6 o superior Base de datos MySQL 3 23 2 o superior y Servidor Web Apache IIS etc Para la descarga se puede ingresar a http sourceforge net projects mantisbt files donde encontrar el archivo comprimido en formato tar gz que cualquier programa de descompresi n puede manejar por ejemplo alquitr n de Unix gunzip Winzip Stuffit TEL 0054 0351 4817951 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina a 2 Instalacion Luego de descargar Mantis se debe ir a trav s de Configuraci n y ajustar las opciones de la base de datos y cualquier opci n necesaria para reemplazar los valores predeterminados Pruebe la configuraci n a trav s de la carpeta admin Luego debe crear una nueva cuenta de administrador y eliminar el usuario est ndar administrador Pasos para actualiza
23. 5 monitoreado 6 Si desea cambiar la definici n copie el valor por defecto y guarde los cambios Sg_my_view_bug count Cantidad de bugs que se muestran en cada caja por defecto son 10 Sg default _home page La p gina predeterminada para transferir despu s del logueo o el Set Project El valor predeterminado es my_view_page php Como alternativas ser an view_all_bugs page php o main_page php 3 31 Relaciones Relationships Sg enable relationship Habilitar la compatibilidad entre los bugs pueden ser relacionados con padre de hijo de o duplicado de related to parent of child of duplicate of Ver relationship_api php para m s detalles El valor predeterminado es ON 3 32 Sistema de registro System Logging La interfaz del sistema de registro se utiliza para extraer informaci n detallada de depuraci n para el sistema de Mantis Tambi n puede servir como una pista de auditor a sobre las acciones del usuario Sg_log level Controla el tipo de registro de la informaci n Los valores actuales son Significado Constante LOG_EMAIL registros id problema el tipo de mensaje y los destinatarios de todos los emails enviados y LOG_EMAIL_RECIPIENT registra los detalles de la determinaci n de receptores de correo electr nico cada id de usuario aparece en la lista tambi n los que se agregar n o se suprimir n de la lista de destinatarios Sg_log destination Especif
24. E 17 3 8 VEIN A RAT 18 OU PW KEA E E E E E E e 3 10 Fecha Dat Encerra eaa id iria ins ea 3 11 Novedades NEWS A a 3 12 Preferencias por defecto Default Preferences 3 13 Resumen A sue eeideleeswdcedabesudedeesenetenbeddvelansencedvendadedvendeeterbeseee BLA BUBNOUGC iss coeivctsds sowcesves cies rarosa sarro tisonar ieo ara EEN on EEE EE ENE esterase a EEE aaa Eaa 3 15 Carga de archivos File Upload ccconooocccnnccocononoonnnnnnnnononnnnnnncnnnnnononnnnnnnnnnnonnnnonnnncnnnnnonnnnnnnccnannnonanos E ERE 3 17 Autenticaci n Authenticati0N 0 0 cecceccccssccecesseececseceececseceecesueeeceeaaececeseeecseaaeeecseaaececseneeceeaeeeessaes 3 18 Configuraci n de estado Status Settings cccocccooconncconononooncnncnnnnnnnnnnonnnncnnnnnonnnnnnncnnnnnonnnnnnncnnnnnnnnnnos 319 Filtros BUESA E A RAEE E E ganuncsstancessoasitea sess CAPARO 1E Eo E EAA E E A TETE 3 21 Al A AO EI EE A 3 23 Tablas de la base de datos Data base tables cecseccecsenecessseeeceeaececeeeeeceeaeeeceeaueeeceeeeeceesneeseaes 3 24 Optimizaci n de velocidad Speed Optimisation 3 25 Recordatorios Reminders 3 26 Historial del bug Bug history 3 27 Patrocinio Sponsors hi D seeria a a a aa a a tes sveeunndahedseveausecnddsassetbaesaes 3 28 Integraci n de Control de fuente Source Control Integration oooooonccncconocooooncnnnnonononnnnnoncnnnnno canoso 33 3 29 Campos Personalizados Custom FieldS coconcococ
25. IMPLE_ONLY vista simple e ADVANCED_ONLY vista avanzada permite seleccionar varias opciones de un valor e SIMPLE_DEFAULT por defecto vista simple y muestra un v nculo para avanzados e ADVANCED_DEFAULT avanzada y muestra un vinculo para vista simple por defecto vista g_dhtml_filters OFF Controla el uso de filtros de DHTML que muestra el filtro en vista de la p gina utilizando DHTML y Javascript El valor predeterminado es OFF Esto requiere que se encuentre en On el Sg use javascript Puede no funcionar en todos los navegadores ya que requiere funcionalidad XMLHttpRequest 3 20 Otros Misc Sg _reopen_ bug threshold la versi n 0 19 0 El necesario para reabrir bugs Se puede establecer un valor Obsoleto en nivel de acceso diferente en el archivo constant_inc php Sg close _bug_threshold Obsoleto en la versi n 0 19 0 Es el nivel de acceso necesario para cerrar bugs Se puede establecer un valor diferente en el archivo constant_inc php Sg_limit_reporters Limita al reportero a ver solo los bugs que l reporta Sg_allow_reporter_close Permite a los reporteros cerrar los bugs que abrieron Sg_allow_close_immediately Permite a los desarrolladores y superiores cerrar los bugs cuando los resuelven Sg_allow_bug_delete_access_level Permite especificar un nivel de acceso para eliminar bugs Sg_bug_move_access level Permite especificar un nive
26. OP essences NO 6 2 PHP WEB SIME A OL 6 3 Informes an nimos ANONYMOUS REPOFtS ceessssecececeesessscececececseessesecececsesesaeseeececsesesaeseeeesseeseeaees 46 6 4 Informes diarios Daily Reports cccccesesseccceceessssscecececeesesaseesececesseseesesecececsesesaeseeecseseseeaeseeseseseeaaes 47 A A O 49 7 1 Lista de mails Mailing lists ovina di iaa a daa ce 49 A O O Y 49 8 Seguridad SCCUMY cssschesiccescsasccasc ndccncceascancccadccssctiscanccdeccessc eccessceedcesscddscesdsdedcdssvecscesdsdedecestdbscessc esees 50 8 1 Incidencias sin avisos de seguridad Issues with no security advisories cocoocooonccncconononnnncnnonnnananannos 50 8 2 2002 01 Vulnerabilidad de SQL envenenamiento en Mantis cccccccceceseeeeeeeesceeseeeeeeeseeeeeeeseeeseeeees 51 8 3 2002 02 Se puede anular la limitaci n de la salida a los informanteS cccocccccoonccncconononnnnnnnonacana nacos 52 8 4 2002 03 Se puede ver el listado de bugs de proyectos privados 8 5 2002 04 Vulnerabilidad de c digo abierto en la ejecuci n de MantiS cccconococonnncncconononnnnnoncnnnananonons 53 8 6 2002 05 Ejecuci n de c digo arbitrario y lectura del archivo ccoccoccconccnccnnnooonnnnnnnonnnananoncnncnncnna conos 54 8 7 2002 06 Bugs privados accesibles coconcococcnnccncononoonnnnnnnnnnonnnnonncnncnnnnonnonnnncnnnnnonnnnnnncnnnnnonnnnnnncnnnnnnnnnos 55 8 8 2002 07 Los bugs de proyectos privados aparecen en Ver bugs
27. Sg_show_product_version Este controla la visualizaci n de los men s desplegables en el informe Los valores v lidos son ON OFF y AUTO OFF suprime el men desplegable de siempre AUTO suprime la lista desplegable si no se definen las versiones para el proyecto Introducido en la versi n 0 19 0 Sg_show_realname Este control reemplazar al ID del usuario con su nombre real Si se establece en ON se sustituir Su valor por defecto es OFF Introducido en la versi n 0 19 0 3 8 Tiempo time Sg cookie _time_length El tiempo se mide con la cookie permanente dividido en segundos Esto es lo que se utiliza cuando un usuario selecciona Save login El valor predeterminado es el equivalente a 1 a o 30 millones 18 TEL 0054 0351 4817951 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina ae Sg_wait_time El tiempo de demora entre que la pagina se redirige medido en segundos Los usuarios pueden sustituir este valor en las preferencias de sus usuarios El valor por defecto es 2 segundos Sg_content_expire El tiempo de espera ante si el documento es viejo en minutos Se utiliza en meta_inc php Por defecto es O expira de inmediato Sg_long_process_timeout Este tiempo de espera es utilizado por las p ginas con operaciones como la mejora de la base de datos El valor predeterminado de tiempo de espera es 0 en segundos
28. Software Testing MANUAL DE INSTALACI N DE MANTIS BUG TRACKER 2010 Casa Central 54 0351 4817951 Tel Bs As Argentina 011 53685847 Tel Londres UK 00442033183814 Tel San Francisco EEUU 001 14157041515 E mail info qaustral com Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina ne TEL 0054 0351 4817951 Indice 1 Informaci n BENE Al visccscssseesdssssccescccssseddesscecsdecssestesssecnsccsssestssaszessscessestssasenecscecvesbssastscsioesven 4 1 2 Caracteristicas y BEMETICIOS cs dncescsccssarevavennedeveasassnadiandedvesesstnvene sedexevenwener ences a ARE A Ee AE AEEA ARRENE 4 D2 ODJETIVOS aE iii aa eee dani Ada casacas 4 1 3 Requisitos MINIMOS ci dora 4 A A sinnsnniiii sanna ano inrsdanabna naiita a aana nae nanana aan bina aaan ioia asi dainn iasaid 6 2 LIBACKUWD NR 8 A couivecenesen caves sinceussdsnctecessncuvsenes EEA EE EN EEn Ea PANE i aE E a E EE Eaa o EEE Ni 8 2 3 Intregaci n CVS 24 DesinstalaciO irsana EE SE e EEE E A EE AEE Aena E E 3 EE OEE E des cecea dass dve sees svaudassddeedeasstuad aaedvadscastevieaaddvedessateu 3 1 Base de datos Data base iis ccic ssicecssseceuciseecbicawinelivetes eiaa pust ca E a a Ei iaaa E K niaaa EEEE 3 2 Servidor Web Web Server 3 3 Camino Path O Ma inr ONO A O 12 3 6 Lenguaje Language nicca aaa ai eaa E TAa Ri Ea TA a E A a 16 BaF Mostrar DIS Playen ee Ea A a arie a EA A e aaa EE aS Ea E AE
29. _PUBLIC Introducido en la versi n 0 19 0 Sg_default_bug_severity La gravedad de un problema nuevo es por defecto menor Buscar en constant_inc php para otros valores Introducido en la 0 19 0 Sg_default_bug_priority La prioridad de un tema nuevo tiene el valor predeterminado Normal Buscar en constant_inc php para otros valores Introducido en la version 0 19 0 Sg_default_limit_view El numero de bugs a mostrar en la pagina El valor por defecto es 50 Sg_default_show_changed Resaltar los bugs que se han cambiado durante las ultimas N horas El valor por defecto es 6 20 Av Rafael N ez 3612 2do piso Oficina 11 C rdoba Argentina TEL 0054 0351 4817951 DAustral Sg_hide_status_ default Controla qu cuestiones se mostrar n en la p gina Ver temas El valor por defecto es Cerrado todas las cuestiones en estado cerrado no se muestran Sustituye Sg_hide_closed_default en 0 19 0 Sg_min_refresh_delay Es el retraso entre las actualizaciones autom ticas de la p gina Ver temas El valor por defecto es 10 minutos Estos ajustes se utilizan como valores por defecto para las preferencias de los nuevos usuarios Cada usuario puede cambiar estas configuraciones a trav s del formulario de preferencias de usuario El lenguaje por defecto est configurado para el idioma predeterminado del sitio Sg_default_language Sg default_advanced_report El va
30. _include_file exit Para pobrarla a Ejecuci n de c digo arbitrario Para ejecutar un c digo arbitrario PHP utilizando esta vulnerabilidad un atacante s lo tiene que almacenar el c digo PHP que desea ejecutar en un archivo de texto y colocar est disponible en un servidor web accesible por la instalaci n y el punto g_meta_include file o la variable Sg css include file en ese lugar tambi n como disponible en el webserver accesible y se alar el Sg _meta_include file o la variable Sg css include file a esa posici n Si la instalaci n no tiene acceso a Internet el archivo se debe almacenar en un servidor b Lectura de archivos locales Tambi n es posible ver cualquier archivo a disposici n del usuario web El m todo es similar aunque en este caso no se deja incluir el archivo que escribi pero s un archivo local que especifique http mantis server com mantis login_page php g css include file etc passwd Esto mostrar el archivo especificado Esta vulnerabilidad puede ser explotada utilizando cualquiera de las cuatro variables especificadas 8 7 2002 06 Bugs privados accesibles Toda la informaci n sobre un bug se muestra en Ver Bug y en Actualizaci n de bug ya sea con vista simple o avanzada Pero ninguno de estos lugares comprueba si un usuario tiene permiso para ver el bug por lo que permit a a cualquier usuario verlo introduciendo el ID de la issue en la URL o en el campo Jump El usuario tiene que conoc
31. a orden descendente El valor predeterminado es ASC 3 15 Carga de archivos File Upload Mantis permite a los usuarios subir archivos adjuntos y recursos asociados a los bugs asi como proyectos Cuando los bugs se cargan en el servidor web lo hacen en la ruta de acceso que se configura en las propiedades del proyecto En caso de problemas para obtener la funci n de carga de archivos controle los siguientes recursos Manual de PHP y Preguntas Mantis Sg_allow_file_upload Para permitir o no cargar archivos adjuntos por defecto es ON Sg file _upload_method Especificar la ubicaci n para subir archivos adjuntos Esto puede ser DISK base de datos o FTP en este caso los archivos se guardan en el servidor web as como en el servidor FTP especificado El valor por defecto es BASE DE DATOS Sg_max file_size El tama o m ximo permitido para un archivo adjunto Es posible que tenga que configurar el archivo php ini para aumentar el tiempo de ejecuci n el l mite de memoria tama o m ximo de correos y el tama o m ximo de carga Sg file upload ftp_server Direcci n del servidor FTP para escribir Esta opci n s lo es efectiva si el m todo de carga es el FTP Sg file upload ftp_user El nombre de la cuenta de usuario FTP que se utilizar en la carga de archivos al servidor FTP Esta cuenta tiene acceso de lectura y escritura al servidor FTP La ruta por defecto para la cuenta se utiliza para
32. a rebajar su instalaci n En general para actualizar las versiones menores desde 0 17 3 a 0 17 5 puede simplemente copiar el c digo antiguo Es posible que desee hacer copia de seguridad hasta su actual config_inc php y las personalizaciones que haya hecho en custom_strings inc php custom_constants_inc php y custom_functions_inc php NOTA El archivo de configuraci n por defecto puede ser ubicado bajo la carpeta principal de Mantis con el nombre de config defaults inc php Puede cambiar estas configuraciones mediante la adici n de config_inc php que deber a incluir nicamente las variables que desea cambiar de los valores predeterminados Primero debe retirar los valores por defecto luego los valores espec ficos del lugar De esta forma se obtendr n las variables nuevas pero no deber volver a ajustar la configuraci n base Lo aconsejable es dejar el archivo predeterminado solamente y crear un archivo config_inc php que contenga s lo valores diferentes desde el archivo config_defaults_inc php Los valores de correo electr nico configuraci n de base de datos de camino y cualquier configuraci n diferente a los predeterminados deber an entrar aqu TEL 0054 0351 4817951 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina ae Pasos para actualizar 1 Cierre la sesi n del sistema antes de actualizar 2 Indique a los usuarios que el sistema est en modo fuera de l nea 3 Lueg
33. aci n cambiar el nombre de las tablas para que coincida con el nuevo prefijo El nombre de la tabla para cada una de las tablas se almacena en una variable que se calcula sobre la base de esta opci n de configuraci n Si cambia el prefijo debe asegurarse de que estas variables se recalculan mediante la adici n de estas declaraciones de c lculo para config_inc php despu s de asignar el nuevo prefijo Un ejemplo de estas variables es Sg_mantis_bug file table 30 TEL 0054 0351 4817951 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina a 3 24 Optimizaci n de velocidad Speed Optimisation Sg_compress_html Esta opci n se utiliza para habilitar el almacenamiento en el b fer compresi n del c digo HTML si el navegador que utiliza el usuario lo soporta El valor predeterminado es ON Esta opci n se omitir en los siguientes escenarios Si php ini zlib output_compression est habilitado Si php ini en output_handler ha establecido un controlador Si PHP no incluye la extensi n zlib Por defecto PHP 4 3 0 y versiones posteriores incluyen esta extensi n Puede comprobar los m dulos cargados en su PHP ejecutando php m en la l nea de comandos o mediante el uso del comando php_ info en un script php Sg_use persistent connections Utilizar conexiones de base de datos persistentes establecer sta en ON Puede haber algunos problemas de escalabilida
34. alse para forzar el modo GD v1 GD v2 2 Aseg rese que la configuraci n de jpgraph de Mantis figuran en su archivo config_inc php Sg_use jpgraph ON Sg jpgraph_path srv www htdocs jpgraph src 3 Espreferible que ejecute los gr ficos directamente esto expondr los mensajes de error de la creaci n de la imagen que normalmente se oculta por la etiqueta de la imagen Algunos problemas comunes son a PHP se queda sin memoria Para solucionarlo en php ini cambie memory_limit 16M Maximum amount of memory a script may consume was 8M b PHP tarda demasiado tiempo en ejecutarse en este caso en php ini cambie max_execution_time 60 Maximum execution time of each script in seconds was 30 5 3 Descarga de archivos File Downloads PHP tiene varias variables que pueden afectar el tama o del archivo a subir y no pueden ser ajustados desde el programa pero deben ser incorporados en el archivo php ini Posee 41 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina ii A gt TEL 0054 0351 4817951 upload_max_file_size y post_max_size Adem s debido al tama o del archivo movido el programa puede necesitar m s tiempo cambiando memory_limit o max_execution_time Por ltimo si est guardando los archivos en la base de datos sta puede necesitar ajustes En MySQL el valor max_allowed_packet tambi n es probable que tenga que ser cambiado La presentaci n del tama o m ximo en
35. ara que los usuarios puedan estar protegidos del desorden Por lo tanto gran parte del paquete tiene una versi n simple de una funci n junto con una versi n m s desarrollada MES En el paquete b sico el objetivo es obtener un sistema de control de errores f cil de usar y que ahorre tiempo El producto est dise ado para ser f cilmente modificable personalizable y ampliable Cualquier persona con experiencia intermedia en PHP y MySQL debe ser capaz de personalizar Mantis para satisfacer sus necesidades 1 3 Requisitos m nimos Necesita una computadora para ejecutar el software de servidor Todo el software necesario para uso comercial o no comercial es gratuito Se puede utilizar un servidor web compartido TEL 0054 0351 4817951 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina a incluso se puede ejecutar en una maquina de oficina Cualquier ordenador Pentium debe ser adecuada para uso moderado s lo se necesita espacio en disco suficiente para que la base de datos crezca y suficiente memoria Espacio en disco Se requieren aproximadamente 6MB de espacio para almacenamiento de archivos MySQL requiere espacio adicional para almacenar los temas Una instalaci n t pica con 2 000 temas debe tener alrededor de 10 20MBs de espacio en disco Costo Mantis es libre El costo neto para el uso Mantis es el tiempo de descarga instalaci n y configuraci n del software adem s de
36. d aqu y es por eso que se predetermina en OFF 3 25 Recordatorios Reminders El env o de recordatorios es una caracter stica que un usuario puede notificar y recordar a otros usuarios acerca de un bug En el pasado s lo los usuarios seleccionados como los directivos o desarrolladores pod an recibir una notificaci n acerca de los bugs Sin embargo estas personas no pueden invitar a otras a trav s de Mantis para verlos o controlarlos Sg_store_reminders Especifica si se deben almacenar recordatorios como bugnotes El bugnote todavia refleja que se trata de un recordatorio y lista los nombres de los usuarios que lo tienen El valor predeterminado es ON Sg_reminder_recipients_monitor_bug Especifica si los usuarios que reciben recordatorios acerca de un bug deben a adirse autom ticamente a la lista de monitores El valor por defecto es ON Esta funci n es til si el administrador necesita obtener informaci n de los probadores o requisitos del equipo acerca de un problema determinado Evita el hecho de tener que realizarlo manualmente Tambi n registra la historia de dichos recordatorios 31 TEL 0054 0351 4817951 Av Rafael N ez 3612 A t l 2do piso Oficina 11 us Ta C rdoba Argentina ae 3 26 Historial del bug Bug history El historial de bugs es una caracter stica que posee Mantis donde se rastrean todas las modificaciones realizadas a los bugs Incluyen t
37. e consiste en configurar la instalaci n para trabajar con su configuraci n espec fica Para ello abra el archivo en un editor y agregue otros valores Hay muchos m s que se pueden utilizar para personalizar su instalaci n de Mantis El archivo se superpone a los valores por defecto necesarios para la instalaci n Puede cargar admin check php para ver si todo funciona correctamente NOTA check php a veces reporta el valor de register_globals incorrectamente Crear una p gina con esta l nea lt phpinfo gt se debe guardar con una extensi n php y posteriormente cargarlo en el navegador web Tiene entre una multitud de otras cosas el valor correcto de register_globals que utiliza 5 Mantis utiliza ahora solamente PHP Si su servidor web est configurado para otras extensiones como PHP3 o PHTML entonces tendr que a adir un soporte para archivos PHP para mayor informaci n sobre PHP ingresar a http www php net manual en installation php 6 Ingrese a Mantis y vaya a la secci n de gesti n Haga click en el link proyectos donde tendr que a adir un nuevo proyecto y luego editarlo Recuerde agregar al menos una categor a de lo contrario no podr a adir los informes de errores Av Rafael N ez 3612 DAustral 2do piso E Oficina 11 C rdoba Argentina E TEL 0054 0351 4817951 2 1 Backup Se recomienda realizar un respaldo de su base de datos de Mantis regularmente Esto es f cil de lograr utilizando el
38. e inferior de cada pantalla Sg_top_include_page Si esta existe se mostrar en la parte superior de cada pantalla Sg_css include file Ponga esto en el punto del archivo CSS de su elecci n Sg_meta_include file P ngalo en el punto de la etiqueta META del archivo de su elecci n Sg_main_menu_custom_ options Su opci n se agregar a las opciones personalizadas del men principal Se trata de una matriz de matrices que lista el t tulo nivel de acceso requerido y el enlace para ser ejecutado Tenga en cuenta que si el t tulo se encuentra en custom_strings inc php entonces ser reemplazado por una cadena traducida Las opciones s lo se agregan al men si el usuario tiene el nivel de acceso adecuado 3 17 Autenticaci n Authentication El m todo de autenticaci n utilizado es LDAP A continuaci n se muestra la tabla con las configuraciones correspondientes Sg_login_method MD5 LDAP LLANO CRIPTA CRYPT_FULL_SALT BASIC_AUTH Algunos sistemas no Unix en su mayoria no poseen el apoyo de las criptas en PHP MDS lograr casi la misma cosa PLAIN es texto sin formato y no hay intento de conseguir la contrasefia en la base de datos No ser facil convertir entre los m todos de encriptaci n por lo que este debe ser elegido durante la instalaci n CRYPT fue el valor por defecto hasta la versi n 0 17 0 y ahora es MD5 Sg_Idap_server The Idap server por ejemplo Idaps Idap exam
39. el sistema 7 Puede cargar http yoursite mantis release admin check php para verificar si todo funciona correctamente 8 En este punto es posible que desee cambiar el nombre del directorio a otro m s simple Para ello se usa el comando mv para renombrar un directorio los usuarios de Windows deben sustituir el comando ren o utilizar el explorador 2 3 Intregaci n CVS La integraci n de CVS permite a Mantis registrar el sistema de control de la fuente de CVS en las notas correspondientes del seguimiento de incidencias La instalaci n requiere que la instalaci n de Mantis se encuentre accesible en el servidor CVS Debe haber una copia del archivo de Mantis config_inc php Tambi n es necesario que est accesible la base de datos MySQL Es decir localhost porque Sg_hostname no funcionar a menos que CVS y Mantis se alojen en la misma m quina Para activar la integraci n la l nea siguiente al archivo commitinfo de CVS las instrucciones para editar este archivo se encuentran en cualquier cartilla CVS TEL 0054 0351 4817951 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina a ALL usr bin php path_to_mantis core checkin php Esto pasar al mensaje de confirmaci n a checkin php para todas las confirmaciones Si la cadena issue nnnn se encuentra en el mensaje de confirmaci n el correspondiente nnnn de Mantis tendr el mensaje CVS a adido como una nota de errores del is
40. email Sg validate_email Si est en ON permite al usuario omitir el campo de e mail Si permite a los usuarios crear sus propias cuentas se debe especificar un correo electr nico en este punto de lo contrario no podr an recuperar sus contrase as Sg_limit_email_domain S lo admite y env a e mails a direcciones del dominio dado Esto es una caracter stica de seguridad y es til en casos como Sourceforge los servidores se limitan a enviar correos solamente a direcciones SourceForge para evitar el spam Sg_show_user_email_threshold Especifica el nivel de acceso que se necesita para tener el nombre de usuario con un link a mailto Esto se encuentra desactivado tambi n para los administradores ya que el valor predeterminado es NOBODY Sg_use_x_priority Eliminado en la versi n 0 19 0 Seleccione Off para quitar la cabecera X Priority El valor predeterminado es ON Sg_mail_priority Si usa _x_priority se establece en ON los valores son Urgente 1 No urgente 5 Inhabilitado 0 Por defecto el valor es 3 Algunos MTAs interpretan X Priority 0 como Muy urgente Sg_use_bcc Eliminado en la versi n 0 19 0 Espec fica si los destinatarios de correo electr nico deben ser a adidos en el campo Para 13 TEL 0054 0351 4817951 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina a OFF o CCO ON El valor predeterminado es ON Puede que t
41. en actualizar Los que poseen valores m s peque os se mostraran primero Para desvincular un campo personalizado haga click en la opci n Eliminar al lado del campo Esto no borra los valores del campo asociados a los bugs ya que s lo se suprimen si se quita la definici n del campo esto es til si decide volver a vincularlo Los valores tambi n pueden volver a aparecer si los bugs se mueven a otro proyecto que tiene este campo vinculado Mover Bugs Cuando un bug se mueve de un proyecto a otro los campos personalizados que no est n definidos para el nuevo proyecto no se eliminan ya que aparecer n con sus valores correctos si el bug se traslada de nuevamente al proyecto original o si est n relacionados con el nuevo proyecto 4 2 Enumeraciones Enumerations Las enumeraciones se utilizan para representar un conjunto de posibles valores para un atributo para los niveles de acceso severidades prioridades estados del proyecto el estado de la vista del proyecto reproducibilidad resoluci n Tiempo Estimado y la proyecci n El administrador puede modificar los valores de estas enumeraciones C mo trabajan las enumeraciones e core constant_inc php Este archivo define las constantes que corresponden a las de la enumeraci n que son tiles para referirse a estas en las configuraciones y el c digo 36 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina a TEL 0054 0351 4817951
42. en ver los bugs de todos los proyectos aunque no tengan acceso a todo tipo de proyecto Resuelto en la versi n 0 18 1 e Los desarrolladores pueden eliminar los bugs incluso cuando se establece el nivel MANAGER en g_allow_bug _delete_access level gt Se aplica a las versiones 0 17 2 0 17 3 0 17 4 0 17 4a gt Aunque el promotor no ve el v nculo Eliminar errores el desarrollador todav a puede eliminar el bug visite la bug_delete_page php F_id url BUG_I1D gt Para m s detalles vea el gub 2360 e Los usuarios sin permiso para ver los errores de los proyectos privados gt Se aplica a las versiones 0 17 3 0 17 4 0 17 4a corregido en 0 17 5 gt Pasos para reproducir Debe establecer todos los proyectos como privados y crear un bug p blico en uno de los proyectos Luego crear un nuevo usuario que sin acceso a estos proyectos privados inicie sesi n con esa cuenta seleccione Todos los proyectos y ver el buglist gt Para m s detalles vea el bug 2341 Administrar Scripts Advertencia Afecta a todas las versiones A partir de la versi n 0 18 0a1 las secuencias de comandos admin_ se mueven en admin carpeta Despu s de instalar o actualizar a 0 18 0 debe descartar esta carpeta o deshabilitar el acceso de los derechos de usuarios de la web Para versiones anteriores a 0 18 0a1 tendr que hacer lo mismo con los archivos admin_ php en la carpeta principal de Mantis Envenenamiento SQL Agujero de seguridad Afecta a t
43. enga que desactivar esta opci n en Windows siempre y cuando php mail funci n tenga cco bug PHP 4 0 6 Sin embargo si est usando PHPMailer para el env o de mensajes probablemente no tendr este problema Sg_use_phpMailer Abandonado en la versi n 0 19 0 Este es ahora el mecanismo de correo Utilice PHPMailer en lugar del correo est ndar http phpmailer sourceforge net La instalaci n es muy sencilla necesita el texto sin formato php files class smtp php y class phpmailer php Copie estos archivos a su php es incluyen dir c php includes o usr lib php includes y a adir esta ruta include_path a la entrada en el archivo php ini La instalaci n se describe en el readme y tambi n hay un ejemplo sencillo PHPMailer viene con una documentaci n detallada en formato phpdoc El valor predeterminado es OFF Aun que lo sea se recomienda usar PHPMailer Est previsto que en el futuro los mensajes de Mantis solo se env en por PHPMailer Sg_phpMailer_path Abandonado en la 0 19 0 La ruta de acceso al directorio PHPMailer por defecto esta vacia Este directorio debe incluir class phpmailer hpp y class smtp php El valor por defecto deberia funcionar si el directorio PHPMailer esta en el include_path Si se especifica una ruta debe ser anunciado por un separador de directorio Sg_phpMailer_method Seleccione el m todo de correo O mail 1 2 sendmail SMTP El valor predeterminado es 0 Sg_smtp_host Es
44. er al sistema al menos una vez para que se establezca la MANTIS_PROJECT_COOKIE y luego cambiarla manualmente de forma local con el project_id deseado 8 5 2002 04 Vulnerabilidad de c digo abierto en la ejecuci n de Mantis Mantis incluye Jpgraph para generar algunos gr ficos estad sticos Parte de este c digo se almacena en un archivo de inclusi n summary_graph_functions php Este se encarga de cargar la biblioteca de Jpgraph con una sentencia include La ruta de acceso a esta se almacena en el archivo de configuraci n Una vulnerabilidad aparece al abrir summary_graph_functions php Cualquier usuario puede ejecutar el c digo PHP arbitrario como el servidor web de usuario para configuraci n Sg_jpgraph_path una ruta local o una direcci n URL Esto se ha cerrado en la versi n 0 17 4 Las versiones afectadas son Mantis 0 17 3 0 17 2 0 17 1 0 17 0 0 16 1 0 16 0 0 15 12 0 15 11 0 15 10 0 15 9 0 15 8 0 15 7 0 15 6 0 15 5 0 15 4 y 0 15 3 Las versiones que no se ver n afectadas son Mantis 0 17 4a 0 17 4 y cualquier versi n continuaci n de Mantis 0 15 3 53 Av Rafael N ez 3612 DAustral a D SSeS ee gentina 5 TEL 0054 0351 4817951 Soluci n del problema La versi n 0 17 4 agrega diversos controles que impiden esta vulnerabilidad y se recomienda actualizar a esta versi n Si la mejora no es posible se puede cerrar mediante la inserci n en la parte superior de summary_graph_functions php de la l nea if iss
45. er el ID aunque no es dif cil de conseguir ya que es un n mero autoincrementado La versi n 0 17 5 agrega c digo a los 4 puntos enumerados anteriormente para comprobar si el usuario tiene los permisos apropiados Las versiones afectadas son Mantis 0 17 4a 0 17 4 y 0 17 3 La versi n que no se ver afectada es Mantis 0 17 5 Cualquier versi n siguiente a 0 17 3 se sospecha que no est afectada Soluci n del problema La versi n 0 17 5 agrega controles de los permisos adecuados por lo que se recomienda actualizar a esta versi n pero si la mejora no es posible puede agregar el siguiente parche diff u r mantis 0 17 4a bug update advanced _page php mantis 0 17 5 bug _update_advanced_page php 55 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina KA 5 TEL 0054 0351 4817951 Para probar la vulnerabilidad la manera m s f cil es ingresar al sistema con un usuario con privilegios bajos y entrar al bug que no debe ser accesible para ese usuario Las versiones m s viejas sin el cuadro de b squeda Jump pueden hacer esto cambiando el par metro f_id para bug_update_advanced_page php view_bug_advanced_page php bug_update_page php o view_bug page php 8 8 2002 07 Los bugs de proyectos privados aparecen en Ver bugs Mantis le permite al administrador establecer los proyectos como privados esto restringe su acceso permiti ndosele solo a los usuarios que se han a adido expl citamente al
46. ertar las siguientes l neas en un bloque de PHP antes que las consultas SQL se ejecuten addslashes F_email addslashes f_ username Sf_username SF_email La habilitaci n de magic_quotes_gpc en la configuraci n de PHP tambi n lo evitar Prueba de vulnerabilidad Modificar el nombre de usuario o el email de una cuenta de Mantis es posible al cambiar cualquier columna de la tabla user por defecto mantis_user_table Esto puede hacerse mediante la inserci n de citas en estos campos y elaborando el valor de tal manera que un resultado v lido en una consulta SQL 51 Av Rafael N ez 3612 Austral oa D See Se Se gentina 6 TEL 0054 0351 4817951 8 3 2002 02 Se puede anular la limitaci n de la salida a los informantes Es posible configurar Mantis para que muestre a los informantes s lo los bugs que inform mediante el establecimiento de la opci n limit_reporters en ON La informaci n en la p gina Ver Bugs tambi n est disponible para la impresi n haciendo click en el link Imprimir informes Sin embargo la secuencia de comandos print_all_bug_page php no comprueba la opci n limit_reporters y permite a estos usuarios ver los res menes de bugs que no reportaron Esto se ha solucionado en la versi n 0 17 4 Las versiones afectadas son Mantis 0 17 3 0 17 2 0 17 1 0 17 0 0 16 1 y 0 16 0 Las versiones que no se ver n afectadas son Mantis 0 17 4a 0 17 4 y 0 16 0 la opci n Imprimir informes no exist a en esas versione
47. es del proyecto 7 2 IRC Se puede encontrar a los administradores de Mantis desarrolladores y usuarios en el IRC en Hmantishelp en freenode Abra Proyectos Net Los administradores probablemente no se encuentren todo el tiempo El Idling es un estilo en IRC si hay otros alrededor estos pueden tratar de ayudarlo Se encuentra disponible mantishelp para conversaciones preguntas de Mantis discusiones entre otros 49 TEL 0054 0351 4817951 Av Rafael N ez 3612 A t i 2do piso Oficina 11 us Ta C rdoba Argentina a 8 Seguridad Security Para informar a los desarrolladores sobre temas de seguridad utilice los siguientes canales e Informe la issue en el bug tracker como un error PRIVADO Esto evitar que est a disposici n de los dem s antes de que sea revisado por los miembros del equipo e Informe la issue a trav s de la lista de correo de seguridad Esta lista es privada y s lo los administradores del proyecto est n suscritos a ella 8 1 Incidencias sin avisos de seguridad Issues with no security advisories Esta p gina resume los problemas de seguridad para los que las recomendaciones de seguridad no fueron puestas en libertad Algunos temas pueden ser viejos o que a n no se haya dado a conocer los resultados e Bug 3596 Las bugnotes privadas son visibles para los usuarios sin acceso adecuado Esto se resolvi en la versi n 0 18 2 e Bug 3445 En print_all_bug_page php los usuarios pued
48. es espectador Sg_sponsor_threshold El umbral del nivel de acceso necesario para permitir al usuario patrocinar cuestiones Por defecto es periodista Los usuarios patrocinadores deben tener sus correos electr nicos establecidos en sus perfiles Sg handle _sponsored_bugs threshold El nivel de acceso requerido para poder manejar los problemas de patrocinio Por defecto desarrollador Sg assign_sponsored_bugs threshold El nivel de acceso necesario para poder asignar un asunto patrocinado a un usuario es mayor o igual a 32 TEL 0054 0351 4817951 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina ae handle_sponsored_bugs threshold Por defecto es MANAGER 3 28 Integraci n de Control de fuente Source Control Integration Sg_source_control_account Es la cuenta para ser utilizada por la secuencia de control de c digo fuente Esta debe estar activa y tener el nivel de acceso adecuado para a adir notas a todos los temas incluso los privados acceso recomendado Desarrollador El valor por defecto se encuentra sin definir Sg_source_control_notes view _status Establece si la nota se a ade p blica o privada VS_PUBLIC o VS_PRIVATE Para los proyectos de c digo abierto se espera que las notas sean p blicas pero para la fuente abierta no es probable que sea VS_PRIVATE Por defecto es VS_PRIVATE Sg_source_control_set_status_
49. et g jpgraph_path HTTP_GET_VARS isset HTTP_POST_VARS g jpgraph_path isset g_jpgraph_path HTTP_COOKIE_VARS exit Prueba de vulnerabilidad Para aprovechar esta vulnerabilidad un atacante sdlo tiene que almacenar el c digo de PHP que desea ejecutar en un archivo de texto Si la instalaci n de Mantis no tiene acceso a Internet el archivo se debe almacenar en un servidor interno 8 6 2002 05 Ejecuci n de c digo arbitrario y lectura del archivo Mantis le permite al usuario configurar un archivo para ser incluido en la parte superior o inferior que contiene un estilo CSS y meta tags Se establecen en default config_inc2 php y pueden ser reemplazados en config_inc php Por alguna oscura raz n config_inc2 php s lo inicia las variables Esto significa que alguien puede establecer Sg bottom_include_ page g top_ include page Sg css include file o SG_meta_include file utilizando los par metros GET POST o por medio de una cookie No todos estos pueden ser explotados para ejecutar un c digo arbitrario pero todos ellos se pueden utilizar para leer cualquier archivo en el servidor La versi n 0 17 4 quita la comprobaci n isset desde default config_inc2 php y verifica si alguna de las cuatro variables se establecieron por un usuario Para ello se agregan los controles para garantizar que incluso cuando alguien ha utilizado default config_inc2 php para establecer los valores de configuraci n esta vulnerabilidad a
50. ficarlo a desarrollador si desea A adir Informe Diario Haga click en el link informe diario Puede escribir los detalles y el tiempo trabajado la fecha se inserta autom ticamente y se puede modificar seg n sus necesidades Administraci n Vista Para ver las entradas debe ir al enlace de informe diario en el men Actualmente existe un l mite fijo para visualizar las ltimas 20 entradas 48 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina ne TEL 0054 0351 4817951 7 Soporte Support Los usuarios de Mantis pueden obtener ayuda de varias maneras Las listas de correo son la mejor opci n pero los e mails enviados directamente a los creadores o a los desarrolladores de problemas de soporte t cnico probablemente no ser n contestados aunque cualquier asunto que considere privado debe ser enviado directamente a los administradores 7 1 Lista de mails Mailing lists Las listas de correo generalmente poseen poco tr fico y se recomienda su utilizaci n para preguntas de ayuda general Las listas son e mantisbt announce Para recibir una notificaci n de emisiones y actualizaciones importantes e mantisbt help Parar pedir ayuda e mantisbt dev Para conversar sobre el desarrollo de Mantis e mantisbt cvs Monitor de CVS e Mantisbt security Esta lista de correo esta dedicado a informar sobre asuntos de seguridad Es una lista de correo privado que solo incluye a los administrador
51. funcionalidad espec fica puede ser codificada en la funci n de mando 39 TEL 0054 0351 4817951 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina ee Funciones definidas custom_function_default_changelog_include_issue p_issue_id Devuelve true o false si el problema se incluye en el registro de cambios custom_function_default_changelog print_issue p_issue_id Devuelve una cadena con formato a introducir para el registro de cambios de la issue custom_function_default_checkin Sp_issue_id Sp_comment S p_new version p file Registra un check en el control en origen de Mantis custom_function_default_ issue update validate Sp bug note text Sp_issue id y Sp_new_bug Valida la configuraci n de los campos del bug antes de que se produzca una actualizaci n Devuelve true o un error custom_function_default_ issue _update_notify Sp_issue_id Notificar n despu s de la actualizaci n de un bug custom_function_default_issue create _validate Sp_new_bug Valida la configuraci n de los campos antes de crear un bug Devuelve true o un error custom_function_default_ issue create_notify Sp_issue_id Notificar despu s de abrir un bug custom_function_default_issue delete validate Sp_issue_id Valida la configuraci n de los campos antes de eliminar un bug Devuelve true o un error custom_function_default_issue delete notify Sp_issue_id Notificar despu s de suprimir un bug
52. g status enum_workflow CONFIRMED 20 feedback 40 confirmed 50 assigned 60 to be tested Sg status enum_workflow ASSIGNED 20 feedback 50 assigned 60 to be tested 90 closed Sg status _enum_workflow TEST 10 new 20 feedback 50 assigned 60 to be tested 80 resolved 90 closed Sg status enum_workflow RESOLVED 50 assigned 60 to be tested 80 resolved 90 closed Sg status _enum_workflow CLOSED 50 assigned 90 closed 38 Av Rafael N ez 3612 A t i 2do piso Oficina 11 us ra C rdoba Argentina a TEL 0054 0351 4817951 4 4 LDAP La funcionalidad es proporcionada utilizando el m dulo php Idap usr lib php4 ldap so Un m todo de entrada adicional se define en core user_API php en la funci n is password_match Sf_ username Sp_test_password Sp_password Esto tiene una simple prueba del directorio LDAP aun no cifrada para el usuario al solicitar una entrada con uid username y password test_ password si existen se supone que el usuario debe tener acceso Configuraci n de bases La contrase a puede ser tomada de los archivos etc passwd o etc shadow o cifrado y agregado utilizando las actuales herramientas de LDAP Hay algunos programas inform ticos especializados para replicar contrase as a LDAP e inversamente como por ejemplo http freshmeat net projects cpu Los par metros de configuraci n LDAP se explican en la secci n Autenticaci n Debe cambiar g_login_method a LDAP Creaci
53. guraci n register_globals en php ini o phpinfo Sg enable project_documentation Especifica si se habilita el soporte para documentos del proyecto o no El valor predeterminado es ON Esto fue introducido en la versi n 0 18 2 3 21 Colores Colors Removido 3 22 Cookies Sg_cookie_path Esta especifica la ruta en la que una cookie es visible Todos los scripts de este directorio y subdirectorios podr n acceder a las cookies El valor por defecto es Debe establecer esta ruta de acceso real a Mantis Manual de PHP http www php net manual en function setcookie php Si est ejecutando m s de una instalaci n de Mantis en el mismo servidor se recomienda establecer la ruta de cookies en cada instalaci n 29 TEL 0054 0351 4817951 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina a a su trayectoria Esto es importante para evitar que los usuarios de una instalaci n puedan obtener los derechos de acceso a las instalaciones de otro tipo que tienen los usuarios con el mismo nombre Esto sol a ocurrir en versiones anteriores a la 0 18 0 Sg_cookie_domain Sin uso Sg cookie version La versi n de la Cookie que se utiliza como un prefijo para las cookies debe terminar cuando el c digo se cambia de una manera determinada Los desarrolladores aumentar n esta versi n cuando sea necesario que en efecto har la creaci n de nuevas cookie
54. ica el archivo donde van los datos de registro Este debe ser escrito por el servidor web userid mantis en ejecuci n En este momento s lo file lt ruta de archivo gt es compatible Para m s detalles ver http www php net error log 34 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina a TEL 0054 0351 4817951 4 Personalizaci n de Mantis Customizing Mantis Mantis se personaliza a trav s de varios archivos PHP que se leen cuando se carga la pagina y deben tener el formato de archivos PHP de la siguiente manera lt Php contest of file here gt Para la personalizaci n se pueden utilizar los siguientes archivos que se encuentran en el directorio principal del sistema e Config_inc php El archivo de configuraci n principal e Custom_constant_inc php Para definir constantes en PHP normal constante valor e Custom_strings inc php Para definir las cadenas de visualizaci n 4 1 Campos personalizados Custom Fields Los administradores recibieron muchas solicitudes para agregar campos para el reporte de bugs a Mantis pero esto no se realiz debido a la preocupaci n de que podr a complicar el uso del sistema mientras que no agrega valor para la mayor a de los usuarios Por lo que a partir de la versi n 0 18 0 se introduce la posibilidad de incorporar campos personalizados para permitir a los gestores del proyecto definir campos adicionales para sus proyecto
55. ier documento agregado En segundo lugar no inicia correctamente la variable utilizada para construir una consulta SQL por lo que es posible que cualquier persona con una cuenta en la instalaci n o con acceso an nimo ejecute una consulta arbitraria Un usuario malintencionado podr a elevar su acceso al gestor de bugs a adir modificar o borrar cualquier informaci n en el bug tracker modificar o acceder a informaci n en otras 56 Av Rafael N ez 3612 DAustral a D AE ee gentina o TEL 0054 0351 4817951 bases de datos Sin embargo nicamente las instalaciones con register_globals habilitado en PHP son vulnerables a este ataque Esta opci n ha sido desactivada por defecto a partir de la versi n PHP 4 2 0 Las versiones afectadas son Mantis 0 18 2 0 18 1 0 18 0 incluyendo todas las versiones alfa 0 17 5 0 17 4a 0 17 4 0 17 3 0 17 2 0 17 1 y 0 17 0 Soluci n del problema La versi n 0 18 3 corrige este problema por lo que se recomienda actualizar a esta versi n El primer problema el acceso a los archivos se puede evitar no incluyendo archivos a los bugs y proyectos o tal vez con la sustituci n de file_download php con la versi n 0 18 3 de Mantis El segundo problema se puede prevenir mediante la desactivaci n de register_globals en PHP el sistema no tendr n ning n problema con esta opci n desactivada La ltima versi n de Mantis est siempre disponible en http www mantisbt org La actual es 1 0
56. k gif PhpWebSite tiene un archivo en la carpeta Im genes blank gif pero el nuevo es m s grande Para evitar el conflicto cambiar el nombre del archivo de mantis m s peque o que mantis_gif con copia a las la carpeta im genes y hacer los cambios necesarios en este archivo 4 Cambiar el nombre de blank gif a mantis_blank gif Debe copiar a la carpeta de im genes 5 Crear un hiperv nculo al archivo en el men login_page php3 6 3 Informes an nimos Anonymous Reports El archivo Thie detalla los pasos para agregarle funcionalidades a las denuncias an nimas Los usuarios pueden presentar bugs de esta forma pero no tiene ning n otro acceso a ellos puede generarlos pero no ver los otros Adem s esta p gina se puede colocar fuera del rbol web de Mantis para aislar al gestor de bugs Este formulario s lo es compatible con la presentaci n de informes para un proyecto Un buen complemento ser a brindarles la capacidad para m ltiples proyectos Otra modificaci n ser a incluir algunos campos de bugs avanzados en el formulario de memoria Necesita e Mantis 0 15 x o posterior e Anonymous_report tar gz e URL http mantisbt sourceforge net mods anonymous_report tar gz que contiene Report_anon_page php y Report_anon php Configuraci n Se asume la siguiente configuraci n e Su ra z web por lo general htdocs de apache es usr local apache htdocs En una ventana se ver a como C apache htdocs Mantis su lugar Adaptar
57. l de acceso para mover los bugs entre los proyectos Sg_allow_account_delete Permite a los usuarios eliminar sus propias cuentas Sg_allow_anonymous_login Permite el acceso an nimo f cil Sg_anonymous_account Establece la cuenta de inicio de sesi n de los usuarios Aseg rese de que se trata de una cuenta de reportero 28 Austral Av Rafael N ez 3612 2do piso Oficina 11 C rdoba Argentina TEL 0054 0351 4817951 Sg cvs web Esto permite una r pida conexi n a los archivos de CVS a trav s de CVSweb o ViewCVS Sg bug _link_tag Si un n mero sigue a esta etiqueta se crear un enlace a un error Por ejemplo el n mero de un v nculo ser a 45 para el bug un v nculo ser a el bug 98 Sg_show_timer Tiempo de carga de la pagina se muestra en la parte inferior Sg_show_queries_count Muestra el n mero total n mero nico de consultas ejecutadas El valor predeterminado es ON Sg show queries_list Muestra la lista de todas las consultas que se ejecutan en orden cronol gico desde arriba hacia abajo Esta opci n s lo es efectiva cuando g_show_ queries count est activada El valor predeterminado es OFF ADVERTENCIA Peligro para la seguridad Habilitar esta funci n solo cuando usted realmente lo necesita para depurar o perfiles Sg_register_globals Si su register_globals est en Off establecer el set en OFF Verifique su confi
58. l usuario pueda ver el campo personalizado e Escriba el nivel de acceso m nimo para que el usuario pueda modificarlo 35 Av Rafael N ez 3612 A t l 2do piso Oficina 11 us Ta C rdoba Argentina a TEL 0054 0351 4817951 Si el valor de un campo personalizado para un determinado bug no se encuentra se tomar el valor por defecto Agregar Editar las definiciones de los campos personalizados El usuario necesita tener un nivel de acceso manage_custom_fields threshold para esto Debe seleccionar en el men principal la opci n Administrar Manage y luego Administrar Campos personalizados en el men de gesti n All podr e Editar Haciendo click en el nombre de un campo personalizado existente e Agregar Debe escribir el nombre del campo personalizado y hacer click en el bot n Nuevo Campo personalizado Ligar Desligar Acomodar los campos personalizados existentes en los proyectos El usuario necesita tener un nivel de acceso mayor o igual a g_custom_field_link_threshold y Sg manage project_threshold Debe seleccionar en el men principal la opci n Administrar Manage y luego Gestionar Proyectos si es que posee un perfil de administrador Luego elegir el nombre del proyecto e ir al cuadro Campos personalizados El campo a agregar se selecciona en una lista y se confirma haciendo click en A adir este campo personalizado En cambio para modificar la secuencia de valor y cambiar el orden de los campos pulse
59. las p ginas de carga de archivos es el m nimo de Sg_max file_size upload_max_file_size php y post_max_size php Para archivos de 5M se asigna g_max_file_size upload_max_file_size post_max_size y MySql max_allowed_packet a 5M y max_execution_time php a 60 segundos y memory_limit a 32M 42 TEL 0054 0351 4817951 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina re 6 Modificaciones Modifications 6 1 Phorum Phorum es sencillo de utilizar y til como un foro de discusi n o un lugar para almacenar el conocimiento Este archivo detalla los pasos necesarios para permitir integrarlo a Mantis Paquetes requeridos Se necesita Mantis 0 17 3 o posterior y Phorum 3 3 2b3 1 Trabajo de Mantis Mantis debe estar instalado y funcionando correctamente Descargar Phorum y guardarlo en el servidor Se asume la siguiente configuraci n a Su ra z web es usr local apache htdocs En una ventana se ver a algo como esto C apache htdocs mantis su lugar Adaptar para reflejar la configuraci n b Mantis se instala en usr local apache htdocs mantis Instalaci n de Phorum Instalar en el directorio Usr local apache htdocs mantis phorum Configurar Phorum Debe utilizar la misma base de datos que Mantis Siga el resto de los pasos de configuraci n Phorum 4 A adir el link de Phorum al men Debe abrir core_html_APl php y encontrar la declaraci n de la funci n print_menu cerca de la
60. ligados a utilizar los valores configurados Tenga en cuenta que estos ajustes se aplican a todos los proyectos 17 TEL 0054 0351 4817951 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina a Sg_show_footer_menu Mostrar el menu en la parte inferior de la pagina si como en la parte superior El valor por defecto es OFF Sg_show_project_menu_bar Esta opci n especifica si se debe agregar en la parte superior de la pagina un menu con los links a todos los proyectos El valor predeterminado es OFF Sg_show_assigned_names Cuando un bug se asigna se sustituye la palabra asignado por el nombre del desarrollador entre par ntesis El valor predeterminado es ON Sg_ show priority text Especifica si se muestra la prioridad como texto ON por defecto o como icono OFF en la vista de las p ginas bug Sg show _bug project_links Mostrar links del proyecto en el modo Todos los Proyectos El valor predeterminado es ON Sg status _legend_position Especifica la posici n de la leyenda de colores de estados STATUS LEGEND POSITION_TOP o el valor por defecto STATUS_LEGEND_POSITION_BOTTOM Sg_show_attachments_indicator Teniendo en cuenta todas las paginas de bugs mostrar un icono clip al lado de los errores que tiene uno o mas archivos adjuntos El valor predeterminado es OFF ya que a ade un extra por cada lista de visualizaci n de bugs
61. lor predeterminado para las preferencias de usuario para utilizar la p gina avanzada para informar bugs es OFF Sg default_advanced_view El valor predeterminado para las preferencias de usuario para utilizar la p gina avanzada para ver bugs es OFF Sg default_advanced_update El valor predeterminado para las preferencias de usuario para utilizar la p gina avanzada para actualizar bug es OFF Sg default_refresh_delay La demora predeterminada para volver a cargar la p gina es de 30 minutos Sg default_redirect_delay La demora por defecto antes de ser redireccionado a una p gina despu s de obtener un mensaje es de 2 segundos Sg default_bugnote_order Controla el tiempo en que la nota del bug se muestra Puede ser ASC ascendente por defecto el m s antiguo primero o DESC descendente primero los m s recientes Sg_default_email_on_new Sg_default_email_on_assigned Sg_default_email_on_feedback Sg_default_email_on_resolved Sg_default_email_on_closed Las preferencias por defecto del usuario para permitir recibir correos electr nicos cuando se trata de un bug se establecen en el estado correspondiente Esta opci n s lo tiene efecto si los usuarios tienen el nivel de acceso requerido para recibir dichos correos electr nicos El valor predeterminado es ON Sg_default_email_on_reopened Preferencias por defecto para permitir recibir correos electr nicos cuando los bug se vuelven a abrir es ON
62. m ticamente en Mantis 1 config_inc php Las l neas 40 y 48 si Mantis tiene su propia carpeta httpdocs mantis la mueve a la ra z del directorio phpWebSite y cambia la ruta en estas dos l neas para reflejar la nueva ubicaci n Instale Mantis y phoWebsSite en la misma carpeta httpdocs Nota Antes de copiar las im genes lea los puntos 3 y 4 core_html_api php 17 PRINT lt DOCTYPE HTML PUBLIC W3C DTD HTML 4 01 Transitional EN http www w3 org TR html4 loose dtd gt 18 Imprimir lt html gt 19 include mainfile php A ADE EL PRESENTE PARA INSERTAR phpWebSite MAINFILE 20 include open _session php A ADE EL PRESENTE PARA INSERTAR phpWebsSite funciones de sesi n 21 include header php A ADE ESTA SECCI N PARA INSERTAR phpWebSite HEADER 22 include config php A ADE EL PRESENTE PARA INSERTAR phpWebSite CONFIGURACI N comentada 29 Imprimir lt head gt 34 Imprimir lt title gt p_title lt title gt 39 if Empty p_css 40 include S p_css 41 52 Imprimir lt head gt 45 Av Rafael N ez 3612 DAustral oa 2 See Se Se gentina 5 TEL 0054 0351 4817951 57 Imprimir lt body gt 129 Imprimir lt body gt 134 Imprimir lt html gt 135 include footer php a ada el presente para insertar phpWebSite secci n al pie 3 core_icon_api php 16 17 18 32 cambia blank gif a mantis_blan
63. minar el idioma en el navegador El valor por defecto es ingl s A partir de la versi n 0 19 0 esto puede ser puesto en auto donde tratar de determinar el idioma en el navegador 3 7 Mostrar Display Sg window_title Este es el t tulo de la ventana del navegador lt TITLE gt etiqueta Sg page title Es el t tulo que se muestra en el rea de visualizaci n de la p gina Sg_show_report Esta opci n se utiliza como un valor predeterminado para las preferencias del usuario Indica si los usuarios deben recibir el informe de error simple avanzado o ambos Los valores posibles son Both ambos por defecto Simple_Only y Advanced_ Only Sg_show_update Esta opci n se utiliza como un valor predeterminado para las preferencias del usuario e indica si deben recibir la actualizaci n del bug simple avanzada o ambas Los valores posibles son Both por defecto Simple_Only y Advanced_Only Sg_show_view Esta opci n se utiliza como un valor predeterminado para las preferencias del usuario Este campo indica si los estos deben obtener la p gina de bugs con una vista simple avanzada o ambas Los valores posibles son Simple_Only Advanced_Only y Both Ambos predeterminado Los usuarios pueden establecer sus preferencias predeterminadas para mostrar el informe actualizar y ver si el valor de configuraci n es Both ambos Sin embargo si es simple o avanzado los usuarios se vean ob
64. mismo Hubo un bug en el sistema que caus el acceso a la p gina Ver Bugs de proyectos p blicos y privados cuando no eran accesibles para el usuario Esto ha sido parchado en la versi n 0 17 5 Las versiones afectadas son Mantis 0 17 4a 0 17 4 0 17 3 0 17 2 0 17 1 y 0 17 0 Soluci n del problema La versi n contiene un parche para este bug por lo que se recomienda actualizar a esta De no ser posible puede incorporar el siguiente parche contra 0 17 4a mantis 0 17 4a view_all_bug_page php Mon Aug 19 07 18 54 2002 mantis 0 17 5 view_all_bug_page php Fri Aug 23 11 57 50 2002 90 7 90 7 Sresult2 db_query Squery2 Sproject_count db_num_rows Sresult2 if 0 Sproject_count St_where_clause WHERE 1 1 St_where_clause WHERE 0 1 else St_where_clause WHERE for Si 0 Si lt Sproject_count Si Para probar la Vulnerabilidad puede hacer todos los proyectos privados crear a un usuario que no tenga acceso a cualquiera de estos y luego ingrese a la pagina de Vista de bugs 8 9 2004 01 Varias vulnerabilidades Cuando se configura Mantis le permite a los usuarios adjuntar archivos a los bugs y a los proyectos pero la secuencia de comandos que permite descargarlos contiene vulnerabilidades En primer lugar no comprueba si el usuario tiene permitido ver los archivos adjuntos haciendo posible que cualquier persona con una cuenta en la instalaci n o mediante el acceso an nimo vea cualqu
65. n no est cerrada Las instalaciones que prevalecen sobre cualquiera de las variables mencionadas anteriormente en config_inc php no son afectadas No es necesario tener una cuenta de instalaci n para aprovecharlo ya que login_page php y core_html_API php tambi n son vulnerables Las versiones afectadas son Mantis 0 17 3 0 17 2 0 17 1 y 0 17 0 Las versiones siguientes no ser n afectadas Mantis 0 17 4a 0 17 4 y cualquier versi n 0 17 0 Soluci n del problema La versi n 0 17 4 quita la comprobaci n de isset y algunos controles para prevenir esta vulnerabilidad Por lo que se recomienda actualizar a esta versi n Si la mejora no es posible se puede solucionar mediante la inserci n de las siguientes l neas en core_API php if isset SHTTP_GET_VARS g_top_include_page isset SHTTP_POST_VARS g_top_include_page isset SHTTP_COOKIE_VARS g_top_include_page exit if isset SHTTP_GET_VARS g_bottom_include_page isset SHTTP_POST_VARS g_bottom_include_page isset SHTTP_COOKIE_VARS g_bottom_include_page 54 Av Rafael N ez 3612 DAustral ad D Se Se ee gentina ES TEL 0054 0351 4817951 exit if isset SHTTP_GET_VARS g css include file isset SHTTP_POST_VARST g_css_include file isset SHTTP_COOKIE_VARS g_css_include file exit if isset SHTTP_GET_VARS g_meta_include_file isset SHTTP_POST_VARS g_meta_include_file isset SHTTP_COOKIE_VARS g_meta
66. na acci n puede coincidir con el estado del bug en Sg status _enum_string Tenga en cuenta que los espacios de la cadena se sustituyen con guiones _ en la creaci n de la acci n As pues utilizando los valores por defecto el feedback ser a una acci n v lida lt status gt status_ en la versi n 0 18 3 6 Lenguaje Language Si no existe una cadena en la lengua de destino la cadena de Ingl s ser utiliza en su lugar sta es predeterminada A continuaci n se muestra una tabla con los componentes esenciales Sg_default_language Este es el lenguaje usado por defecto en Mantis A partir de la versi n 0 19 0 esto puede ser puesto en auto donde tratar de determinar el idioma en el navegador Sg_language_choices_arr Esto se debe ajustar a una serie de idiomas que estan disponibles para elegir El valor por defecto incluye todos los idiomas 16 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina a TEL 0054 0351 4817951 soportados por Mantis El administrador puede limitar los idiomas disponibles para los usuarios Tambi n puede a adir sus propios idiomas mediante la traducci n de las cuerdas y la creaci n de sus archivos de idioma Todos los archivos de idioma deben residir en la carpeta lang Son nombrados de acuerdo a lt idioma gt strings _ Txt Sg_fallback_language Este es el lenguaje utilizado si Mantis no puede deter
67. o debe transferir el archivo a su servidor web utilizando el m todo que prefiera por ejemplo ftp scp etc Es necesario que tenga telnet ssh en el servidor para los pr ximos pasos 4 A continuaci n descomprimir el archivo en el directorio que desee El comando normal es 1 paso tar zxvf lt filename tar gz gt O 2 paso lt filename tar gz gt gunzip tar xvf lt filename tar gt Puede ser de ayuda anotar el nombre del directorio de origen del predicador que se crea 5 Copiar los archivos de configuraci n custom_constants_inc php custom_functions_inc php config_inc php y custom_strings_inc php al nuevo directorio para conservar la configuraci n 6 A continuaci n se deben actualizar las tablas de base de datos necesarias Desde su servidor web acceda a http yoursite mantis release admin install php Esta p gina lo guiar por los siguientes pasos a Comprobar los par metros b sicos para el servidor web b Confirme el tipo de base de datos su localizaci n y una base de datos de usuario contrase a Para la actualizaci n un usuario administrativo contrase a tambi n puede ser proporcionado El usuario operativo necesita privilegios de modificar seleccionar eliminar insertar y cargar Para la instalaci n o actualizaci n se precisan permisos para clasificar crear eliminar y bajar c Tambi n se requiere actualizar la base de datos y tablas d Realizar algunas comprobaciones posteriores a la instalaci n en
68. odas las versiones anteriores a 0 18 0a1 Mantis es susceptible a la intoxicaci n por SQL El caso m s cr tico es que un usuario obtenga privilegios de administrador 50 Av Rafael N ez 3612 DAustral 2do piso E Oficina 11 C rdoba Argentina E TEL 0054 0351 4817951 Subir archivos Agujero de seguridad Afecta a las versiones anteriores a 0 15 11 Los archivos no fueron objeto del control de sus permisos Por defecto muchas instalaciones de Apache crear tmp directorio de archivos ejecutables 777 Los archivos son ahora umasked antes de ser copiados Subir archivos Agujero de seguridad Afecta a las versiones anteriores a 0 15 6 Un usuario puede ser capaz de obtener acceso de lectura de cualquier archivo en el servidor La liberaci n requiere que tenga PHP 3 0 17 o superior Fuente Show Advertencia Permite a los usuarios ver el c digo fuente completo esto puede ser un peligro de seguridad y sucede si a g_show_source se asigna algo distinto de O o 1 Los usuarios pueden reemplazar el f_url en la direcci n URL con cualquier archivo disponible en el sistema Mostrar Fuente fue retirado de la versi n 0 18 0a4 y posteriores Contrase as Informaci n En la actualidad las contrase as se pueden ejecutar a trav s de la encriptaci n o md5 Estas son funciones de una manera lo que significa que no puede obtener la contrase a original de la previamente encriptada o md5ed Esto asegura que las contrase as de u
69. odos los cambios comenzando desde su creaci n hasta que es cerrado Para cada cambio se registrar la fecha el usuario que efectu el cambio qu modific el valor anterior y el nuevo Independientemente de estos ajustes Mantis siempre seguir los cambios del bug y los agregar al historial Sg history_default_ visible Activa el historial visible de manera predeterminada Si sta opci n no est habilitada entonces el usuario tendr que hacer click en el link Bug History para verlo El valor es ON por defecto Sg history_order Muestra las entradas del historial en orden ascendente ASC o descendente DESC El valor por defecto es ASC 3 27 Patrocinio Sponsorship Sg enable _sponsorship Activar desactivar la funci n de emitir el patrocinio conjunto El sistema operativo por defecto en OFF Sg_sponsorship_currency La moneda que se utiliza para todos los patrocinios El valor por defecto es USS Sg_minimum_sponsorship_amount El importe minimo del patrocinio que se puede escribir por defecto es 5 Si el usuario introduce un valor menor se mostrar un error Sg view _sponsorship_total_threshold El nivel de acceso necesario para ver el total del patrocinio El valor predeterminado es espectador Sg view _sponsorship_details threshold El umbral del nivel de acceso necesario para ver los detalles del patrocinio es decir qui n donar qu El valor predeterminado
70. onfiguraci n e Su ra z web por lo general htdocs de apache es usr local apache htdocs En una ventana se ver a C apache htdocs Mantis en su lugar e Mantis se instala en usr local apache htdocs mantis Los pasos a seguir son 1 Requisitos previos Es necesario que Mantis est instalado y funcionando correctamente 47 Av Rafael N ez 3612 DAustral TR D See Se Se gentina o TEL 0054 0351 4817951 Copiar los archivos Instalar los archivos para descomprimirlos en el directorio de Mantis En Unix utilice el comando tar tar zxvf daily_report tar gz En Windows puede usar Winzip Actualizaci n de la Base de Datos Se a adir una nueva tabla a la base de datos existente de Mantis estos datos y los cuadros no se ver n afectados Ejecute esta consulta a trav s de la l nea de comandos o utilizando phpMyAdmin CREATE TABLE mantis_daily_report_table id int 7 sin firmar zerofill DEFAULT 0000000 NO auto_increment NULL user_id int 7 sin firmar zerofill DEFAULT NO 0000000 NULL hours varchar 5 DEFAULT 0 NOT NULL date_added fecha y hora DEFAULT 0000 00 00 00 00 00 NOT NULL content text NOT NULL PRIMARY KEY id A adir un enlace al men Abra menu_inc php y a ada la siguiente l nea a la derecha despu s del resumen lt if access level_check_greater_or_equal programador gt lt A href lt Echo g_path gt Daily_page php3 gt Informes diarios lt a gt lt gt Puede modi
71. onncccnononoanonncnncnnonannnnncncnnnonnnnonnnnccnnononnnncnnccnannn conos 33 3 30 Mi configuraci n de Vista My View Settings c ccccccccccsssssecccecessessseeseeeceeseseeaeseeeesssesnsaeeeeseseseseeaes 34 3 31 Relaciones Relationships cccccccssssssssccecscssssanseceeecsesseaeseseceeseseeaeeeseceeseseaeeaeseceesssesaseesecsesesesseaes 34 3 32 Sistema de registro System LOBZING ccccccecssssssecececeesessesecececeeseeesesecececseesaesesecseseesaeseeseseeeseeaees 34 4 Personalizaci n de Mantis Customizing Mantis ocoooccnnnoncccconoccnononononnooncnonononnnoonnn corno nn ncnannnnncnnncnnos 35 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina a TEL 0054 0351 4817951 4 1 Campos personalizados Custom FieldS c cccccccessssssesecececsesseseseeececsesesaeseeececseeaasseeececeesesaseeseeeceeses 35 A cl A E sanadeagedecoeevecs 36 4 3 Personalizaci n de los valores de estados Customizing Status Values ccccoconococnnnnccnnononnnnnanonncnnnna 37 A ON 39 4 5 Funciones personalizadas Custom FUNCHIONS cccocccoocnncncnonononnnnnnncnnnonanonnnnncnnnnnnnnnnnncnnconenonnnnncnncnnnns 39 5 Soluci n de problemas Troubleshooting 5 1 Instalacion Instalacion 5 2 TN A duvesiie suvcesieesweaie since ie somerdieovedessucwardea side tar ioia a a aia i E iieii 5 3 Descarga de archivos File Downloads 6 Modificaciones AAA O 6 1 PR
72. ple com Sg_Idap_port Puerto LDAP por defecto 636 25 TEL 0054 0351 4817951 Av Rafael N ez 3612 A t i 2do piso Oficina 11 us Ta C rdoba Argentina ne Sg_Idap_root_dn dc example dc com Sg_Idap_organisation organizationname Example Sg_use_Idap_email Utilice la direcci n de correo electr nico en LDAP en lugar del e mail almacenado en la base de datos Sg_Idap_bind_dn cn Manager dc example dc com Sg_Idap_bind_passwd 3 18 Configuraci n de estado Status Settings Sg_ bug _submit_status El estado para asignar al bug por defecto es NUEVO _ New Agregado en la versi n 0 18 1 Sg_bug_assigned_status El estado para asignar al bug cuando es asignado por defecto es ASIGNADO Assigned Se incluy en la versi n 0 18 1 Sg bug reopen_status El estado para asignar al bug cuando se reabre por defecto es RETROALIMENTACI N Feedback Se incluy en la 0 18 1 Sg bug reopen_resolution La resoluci n para asignar al bug cuando es vuelto a abrir por defecto es REABIERTO Reopened Agregado en 0 18 1 Sg_auto_set_status_to assigned Cada vez que se asigna un bug a un usuario se establece autom ticamente el estado a Sg bug assigned_status Las instalaciones en el estado asignado deben ser utilizados cuando el bug est en curso El valor predeterminado es ON Sg bug resolved status threshold Bug resuel
73. r Sg_mantis_path print_bottom_page Sg_bottom_include page print_footer 44 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina ne TEL 0054 0351 4817951 print_body_bottom print_html_bottom gt El link es probable que este roto No es importante ya que no lo haremos trabajar Llenado automatico de datos del anuncio En este momento todo esta funcionando correctamente y s lo los usuarios que estan registrados pueden acceder al foro gracias a login_cookie_check en header php de Phorum Phorum permite publicaciones an nimas ya que no utiliza un m todo de autenticaci n de usuarios razon por la que hace que sea bastante simple integrarse con Mantis pero debe escribir su nombre de usuario y direcci n de e mail constantemente Para evitarlo estos campos se pueden llenar autom ticamente a trav s de Mantis Para automatizarlo debe abrir usr local apache htdocs mantis Phorum include form php y agregur estas l neas al final del primer bloque de c digo PHP l nea 66 Inmediatamente despu s de estas l neas Sp_author Sauthor Sp_email Semail Inserte Sp_author get_current_user_field username Sp_email get_current_user_field emai Ahora los campos de usuario y correo electr nico ser n llenados autom ticamente y la integraci n de Phorum concluye 6 2 PHP WEB SITE Esta secci n muestra c mo se pueden integrar Mantis en phpWebSite Utilizar PhpWebSite temas auto
74. r la instalaci n A continuaci n se detallan los pasos b sicos para su instalaci n en cualquier sistema Las instrucciones pueden parecer centradas en Unix pero deber a funcionar bien en Windows El tiempo promedio para la instalaci n es de 10 20 minutos y el mismo tiempo para configurar y utilizar el software Resumen Traslado de archivos Descomprimir archivos Generar tablas de bases de datos Si es necesario editar el archivo de configuraci n Las extensiones de los ficheros PHP Loguearse A ey O S Agregar proyectos y usuarios Detalles 1 En primer lugar transferir el archivo a su servidor web utilizando cualquier m todo que prefiera por ejemplo ftp scp etc Necesitar tener telnet ssh en el servidor para los pasos siguientes 2 A continuaci n descomprimir el archivo gunzip en el directorio que desee El comando normal es de 1 paso Tar zxvf lt filename tar gz gt O 2 pasos Gunzip lt filename tar gz gt tar xvf lt filename tar gt Tambi n se puede descomprimir utilizando Winzip Stuffit y otros programas En este punto es posible que desee cambiar el nombre del directorio a algo mas simple como Mantis Usted usara el comando mv para renombrar un directorio usuarios de Windows sustituir la s de comandos o utilizar el explorador Mv lt directoryname gt mantis Av Rafael N ez 3612 2do piso Oficina 11 DaAu stral C rdoba Argentina
75. rop sito de permitir a los administradores definir sus propias constantes pero no se distribuye con Mantis custom_strings_inc php Este archivo se introduce por una raz n similar al anterior ya que tiene por objeto definir cadenas personalizadas La ventaja de definirlas es brindar una ruta de actualizaci n sencilla y evitar tener que volver a hacer los cambios cuando se actualice a la pr xima versi n Tendr que crear este archivo si necesita dicha personalizaci n El archivo y el c digo se detectan autom ticamente en Mantis El punto de partida para la personalizaci n de las enumeraciones es Mantis Enum Strings en la secci n config_defaults_inc php Aqu se definen todas las utilizadas por el sistema Para las versiones anteriores a 0 18 0 no se admite custom_ _inc php por lo tanto tendr que cambiar las constantes reales de idioma directamente 4 3 Personalizaci n de los valores de estados Customizing Status Values El valor predeterminado no posee un flujo de trabajo y todos los estados son accesibles desde cualquier otro C mo agregar un estado Primero se debe definir una constante para asignar al nuevo estado en un nuevo archivo custom_constant_inc php en el directorio mantisbt principal lt php define TEST 60 gt 37 Av Rafael N ez 3612 DAustral TR D SSeS Se gentina E TEL 0054 0351 4817951 Luego es necesario definir las cadenas del idioma requerido debe ser en varios idiomas
76. s Soluci n del problema La versi n 0 17 4 agrega los controles de permisos adecuado para Imprimir informes por lo que se recomienda actualizar a esta versi n Las siguientes instrucciones se aplican a la versi n 0 17 3 y tambi n a anteriores En print_all_bug_page php despu s del bloque de asignaciones de St_setting_arr inserte las siguientes l neas HLimit reporters to only see their reported bugs if ON Sg_limit_reporters amp amp access_level_check_greater_or_equal UPDATER Sf_user_id get_current_user_field id 8 4 2002 03 Se puede ver el listado de bugs de proyectos privados Un usuario puede seleccionar un proyecto en el menu desplegable y los listados de bugs se limitaran a ese proyecto La pagina Ver Bugs no comprueba si el usuario realmente tiene acceso al proyecto ya que confia en el hecho de que ste tiene acceso solo a los proyectos que se enumeran en el men desplegable Se encuentra solucionado en la versi n 0 17 4 La versi n afectada es 0 17 3 y las que se suponen no ser n afectadas son 0 17 4a y 0 17 4 Soluci n del problema La versi n 0 17 4 agrega el control de permisos adecuado para la pantalla Ver Bugs por lo que se recomienda actualizar a esta versi n De no actualizar puede agregar view_all_bug_page php a los controles correspondientes Para ello agregue la funci n siguiente para core_user_APl php H Check to see if the current user has access on the specified project function
77. s Los siguientes son algunos hechos acerca de la aplicaci n de campos personalizados e Se definen en todo el sistema e Se pueden vincular a varios proyectos e Las secuencias para mostrarlos pueden ser diferentes para cada proyecto e Deben ser definidos por los usuarios con nivel de acceso de administrador e Se pueden vincular a los proyectos por los usuarios con perfil de Administrador de forma predeterminada esto se puede configurar e No est restringido el n mero de campos personalizados La definici n de un campo personalizado incluye los siguientes atributos l gicos e Nombre de la variable por ejemplo Este es el valor que se suministra a lang get API o se muestra tal cual si no se encuentra en el archivo de idioma e Personalizar el tipo de campo cadena num rico flotador enumeraci n e mail e Enumerar posibles valores por ejemplo ROJO AMARILLO AZUL e Utilice para separar los posibles valores de una enumeraci n Un valor posible puede ser una cadena vac a e Valor predeterminado e Un m nimo m ximo de longitud para el valor del campo personalizado utilice O para inhabilitar e Expresi n regular a utilizar para validar la entrada del usuario uso ereg sintaxis e Avanzada no Muestra en vistas simples Avanzada s Muestra s lo en avanzadas e Todos los campos personalizados se guardan en la actualidad a un campo de tipo VARCHAR 255 en la base de datos e Nivel de acceso m nimo para que e
78. s ajustes email_on_status e email_on_priority El valor es todo Esta opci n no se ha implementado todav a 3 13 Resumen Summary A continuaci n se muestra una tabla con los ajustes que se utilizan para las opciones de configuraci n relacionadas con la p gina Resumen Summary Esta p gina contiene estad sticas acerca de los errores en Mantis Sg_reporter_summary_limit El limite de reportes para mostrar en la pagina de resumen es de 10 Esto es util cuando hay muchos reporteros Sg_date_partitions Una serie de longitudes de fechas para contar en dias los bugs Por defecto se cuentan 1 2 3 7 30 60 90 180 y 365 Sg_summary_category_include Especifica si los nombres de las categorias deben estar precedidos por el nombre del proyecto formato Proyecto 22 TEL 0054 0351 4817951 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina a _ project Categoria cuando la pagina de resumen considera todos los proyectos Es util en el caso de que el nombre de la categoria sea com n en todos los proyectos Por defecto es OFF Sg_view_summary_threshold Especifica el nivel de acceso requerido para ver la pagina de resumen El valor predeterminado es espectador 3 14 BugNote Sg_bugnote_order El orden utilizado para ordenar las bugnotes es por fecha Los valores posibles son ASC para ascendente y DESC par
79. s que son compatibles con el nuevo c digo No se espera que el usuario necesite cambiar esto Sg cookie prefix Esto se deber a establecer con un identificador nico que no incluye espacios y debe ser nico por instalaci n de Mantis especialmente si Sg cookie path no es una restricci n del link cookies para el actual directorio de Mantis Las variables de configuraci n Sg_ string cookie Sg project_cookie g view_all_cookie Sg_manage_cookie se calculan sobre la base de g_cookie_prefix Cuando se cambia el prefijo de cookie en config_inc php necesita seguir con una copia de las cuatro l neas que calculan los nombres de estas cookies 3 23 Tablas de la base de datos Data base tables Mantis permite a los usuarios configurar un prefijo de tabla para todas sus tablas Esto es til para poder tener m ltiples Mantis en la misma base de datos Es una gran ventaja para los usuarios que est n limitados por su ISP para tener una base de datos El prefijo se utiliza para ayudar a asegurar que los nombres de las tablas sean nicos Esto es til para los usuarios que se limitan a una base de datos Sg _db_table prefix Especifica el prefijo que se utiliza para todos los nombres de la tabla El valor por defecto es mantis Si reemplaza el prefijo predeterminado aseg rese de actualizar el archivo doc db_generate sql antes de generar la base de datos La otra opci n es importar db_generate sq como est y a continu
80. s_ inline_max_size Esta caracteristica se aplica a bmp jpg gif png y archivos que se adjuntan a los bugs Si el tamafio del archivo es menor que los valores especificados la imagen real tambi n es pre visualizada con el bug Esta caracteristica se puede deshabilitar estableciendo el tama o maximo a 0 El valor por defecto es 0 3 16 HTML Sg_allow_html_tags Eliminado en la 0 19 0 Permite etiquetas HTML Sg_html_tags Esta es la lista de etiquetas HTML que se permiten NO incluya href o img aqu ni etiquetas que tengan par metros El c digo HTML que se permite entrar en la base de datos como es Los g_allow_href_tags no tienen que tener la posibilidad de links URL El paquete formar autom ticamente el formato correcto al hiperv nculo Por ejemplo http blah blah o mailto me more com 24 Austral Av Rafael N ez 3612 2do piso Oficina 11 C rdoba Argentina TEL 0054 0351 4817951 Sg_allow_href_tags Abandonado en la versi n 0 19 0 Deje etiquetas HREF Sg_allow_img_tags Abandonado en la versi n 0 19 0 NO HABILITADO Sg_primary_table_tags Abandonado en la versi n 0 19 0 Esto se inserta en las tablas ultra perif ricas para etiquetas como las fronteras cellspacing Sg_hr_size El tama o de hr Sg_hr_width El ancho de hr Deja afuera los simbolos de porcentaje Sg_bottom_include_page Si esta existe se mostrar en la part
81. suario no sean legibles desde la base de datos esto no quiere decir que sean incrackeables con suficiente tiempo y fuerza bruta obtendr la mayor a de las contrase as 8 2 2002 01 Vulnerabilidad de SQL envenenamiento en Mantis Las versiones anteriores a 0 17 0 de Mantis no comprueban todos los datos del usuario y si lo hacen no proceden directamente de los campos de formulario Esto abre una gran variedad de vulnerabilidades de SQL que son explotables de manera limitada ya que no es posible ejecutar varias consultas con una llamada a mysql_query Hay una consulta que puede ser enga ada para que cambie el acceso de un nivel de cuenta lo que significa que un usuario malintencionado con una cuenta en el sistema puede modificar su perfil a administrador Esta vulnerabilidad en particular ha sido corregida en la versi n 0 17 3 Las versiones afectadas son Mantis 0 17 2 y las que no se ver n afectadas son Mantis 0 17 4a Mantis 0 17 4 y Mantis 0 17 3 Las versiones que est n presuntamente afectadas son todas las inferiores a Mantis 0 17 2 Soluci n del problema la versi n 0 17 3 corrige la consulta antes mencionada Se recomienda actualizar a la versi n 0 17 4 dado que esta vulnerabilidad fue descubierta las directrices de codificaci n han cambiado para todos los bits de entrada del usuario que alimenta las consultas SQL Si la mejora no es posible la versi n 0 17 2 e inferiores puede ser parchado En account_update php debe ins
82. sue Esto se configura a trav s config_inc php y de las funciones habituales 2 4 Desinstalaci n Se recomienda hacer un respaldo en caso de que desee utilizar sus datos en el futuro Vea la p gina de Respaldos para m s detalles Para desinstalar debe borrar la gu a de Mantis todos los archivos y subdirectorios Luego dejar caer todas las bases de datos stas pueden ser identificadas por el prefijo configurado para la instalaci n el predefinido es mantis Posteriormente se debe quitar cualquier personalizaci n y agregados que puede haber hecho Si tiene permisos de crear bajar la base de datos y posee una base de datos espec fica para Mantis que no contiene otros datos puede dejar caer la base de datos entera 10 TEL 0054 0351 4817951 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina a 3 Configuraci n 3 1 Base de datos Data base La configuraci n de la base de datos se debe establecer para que el programa funcione correctamente Estos valores deben ser proporcionados por el administrador del sistema o la empresa de alojamiento Sg_hostname Nombre del host o la cadena de conexi n para el servidor de base de datos El valor por defecto es localhost Para mysql el nombre del host es port Para otras bases de datos no compatible con experimentales esto puede ser una cadena de conexi n o nombre del host Sg_db_username Nombre de usuario para conectarse
83. ta opci n le permite utilizar un control remoto al servidor SMTP Se debe utilizar la secuencia de comandos PHP Mailer Nombre del servidor smtp necesario para PHPMailer es tomado de php ini por defecto es localhost Sg_smtp_username Esta opci n permite el uso de la autenticaci n SMTP cuando se utiliza un host remoto SMTP con PHPMailer Si smtp_username es no entonces el nombre de usuario y contrase a se utiliza cuando se conecta al servidor SMTP Sg_smtp_password Es la contrase a que se utiliza en la autenticaci n SMTP 14 TEL 0054 0351 4817951 Av Rafael N ez 3612 A t 2do piso Oficina 11 us Ta C rdoba Argentina a Sg_email_set_category Especifique si los correos electr nicos deben ser enviados o no con el conjunto de categor a Esto es probado con Microsoft Outlook En el futuro se agregaran m s pruebas y formatos El valor por defecto es OFF formato Proyecto Categor a email_category_project_categoria Sg_email_separator1 El valor por defecto es str_pad 70 70 signos iguales Sg_email_separator2 El valor por defecto es str_pad 70 70 signos iguales Sg_email_padding_length Por defecto es 28 Mantis utiliza indicadores y un sistema de umbral para generar mensajes de correo electr nico para los acontecimientos Para cada nuevo evento se env a un correo electr nico a e El reportero ste notificar al repor
84. tero siguiente e El controlador o asignado que notificar al controlador siguiente e El vigilante del seguimiento del bug notificar al vigilante siguiente e Cualquiera que haya a adido una nota al bug quien notificar al siguiente e Cualquier persona del proyecto con acceso mayor o igual a la del pabell n notificar threshold_min e inferior o igual a la del pabell n notificar threshold_max De esta lista los beneficiarios que cumplan los siguientes criterios se eliminan e Eliniciador del cambio si g_email_receive_own es OFF e El destinatario o bien ya no existe o est deshabilitado e El destinatario que haya dado la preferencia email_on_ lt nuevo STATUS gt OFF e El receptor no tenga una direcci n de correo electr nico ejercida Sg_email_receive_own Esto define si los usuarios deben recibir correos electr nicos sobre sus acciones Por defecto se encuentra en OFF por lo tanto los usuarios no reciben la notificaci n Sg_default_notify_flags Se asocia a cada acci n una lista de indicadores para controlar qui n debe ser notificado El valor por defecto se utiliza si la acci n no est incluido en g_notify_flags o en la definici n de la acci n espec fica La lista de acciones incluyen nueva asignada resolvi eliminar bugnote volvi a abrir retroalimentaci n cerrar El valor por defecto es Sarray g default_notify_flags threshold_min y threshold_max NOBODY monitor
85. to puede ser cerrado o abierto de nuevo Sg bug readonly_status_threshold Sg update _readonly bug _threshold El bug se convierte en s lo lectura si su estado es gt Sg bug readonly_status_threshold en lectura escritura de nuevo si se volvi a abrir y su estado es inferior a este umbral Una vez que el bug se convierte en s lo lectura un usuario puede editarlo si posee un nivel de acceso mayor o igual Sg update _readonly bug threshold Agregado en la versi n 0 19 Sg_status_enum_workflow Define el flujo de trabajo y refleja un simple 2 dimensional de la matriz Para cada situaci n existente se definen los estados El valor predeterminado es sin flujo de trabajo 26 Austral Av Rafael N ez 3612 2do piso Oficina 11 C rdoba Argentina TEL 0054 0351 4817951 donde todos los estados son accesibles desde cualquier otro Sg report_bug threshold Este es el nivel de acceso requerido para abrir un bug El valor predeterminado es reportero Sg update bug _threshold Es el nivel de acceso general para actualizar el contenido de un bug El valor predeterminado es Updater Sg handle _bug_threshold Este es el nivel de acceso general necesario para figurar en el campo asignar El valor por defecto es el desarrollador Una configuraci n m s restrictiva puede determinarse a partir de Sg set_status_threshold Sg update _bug_status_threshold Sg_set_status_threshold
86. uperior de la p gina Cambiar las rutas en el include para reflejar la ubicaci n de su paquete de Mantis B Configurar report_anon_page php Debe establecer las siguientes variables Sf go to page report_anon_page php Sg project_cookie_val 0000002 SF_reporter_id 0000005 Reemplace g_project_cookie_val con el ID de proyecto Reemplace Sf_reporter_id con el ID de usuario Reemplace Sf_go_to_page con la URL que desea el usuario que sea enviada despu s de la presentaci n de un bug 7 Configurar report_anon php Este archivo hace el verdadero trabajo de agregar el informe Es similar a report_bug php3 y funciona igual excepto conseguir acceso a los talones Realice los pasos detallados en el punto 6 A 6 4 Informes diarios Daily Reports Esto puede ser confidencial de algunos usuarios y es til para mantener a los miembros del grupo al d a sobre los avances rec procos Esta modificaci n sea probablemente de mayor utilidad para equipos de proyectos peque os C mo realizar informes diarios Los reportes diarios son tiles en los equipos de proyectos peque os donde tienen un procedimiento sencillo de comunicaci n de informes de situaci n entre otras Se necesita la siguiente URL http mantisbt sourceforge net mods daily report tar gz Mantis 0 15 x o posterior daily_report tar gz y contiene Daily _delete php3 Daily_page php3 Daily_report_add php3 Daily _report_page php3 Configuraci n Se asume la siguiente c
87. w example com mantis y http www example com mantis Mantis lo tomara por defecto Sin embargo en algunos casos puede que tenga que reemplazar la configuraci n predeterminada Sg_path Sg_icon_path Es la URL del directorio de los iconos imagenes como se ve desde el navegador Todas las imagenes se cargan desde esta URL El valor predeterminado para esta direcci n se basa en g_path por lo tanto si reemplaza g_path tendr que modificar esta tambi n Sg_absolute_path Es la ruta a la instalaci n por defecto el directorio donde reside es config_defaults inc php Este es el camino que se ve cuando realiza un telnet o ssh de conexi n al servidor Requiere al final el car cter No permitido para versiones anteriores a 0 17 3 Sg_core_path Es la ruta al directorio principal de instalaci n El valor por defecto es v lido a menos que mueva el directorio central fuera del webroot Requiere al final Sg_manual_url Esta es la URL del manual de Mantis por defecto es el manual en l nea Tambi n se utilizar el link para ayuda Requiere al final 3 4 Versi n Sg_mantis_version Es la versi n para la instalaci n no deber a haber necesidad de reemplazarla A las versiones de desarrollo se le atribuyen el sufijo CVS Sg_show_version Es para mostrar la versi n de Mantis en la parte inferior de cada p gina o no El valor predeterminado es ON 3 5 Email
Download Pdf Manuals
Related Search