Debian-Sicherheitsankündigung

DSA-218-1 bugzilla -- Site-übergreifendes Skripting

Datum des Berichts:
30. Dez 2002
Betroffene Pakete:
bugzilla
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 6257.
Weitere Informationen:

Von einer Site-übergreifenden Skripting-Verwundbarkeit für Bugzilla wurde berichtet, einer web-basierten Fehlerdatenbank. Bugzilla prüfte keinerlei Eingaben eines Benutzers für die Verwendung in quips auf Sinnhaftigkeit. Als Ergebnis ist es einem entfernten Angreifer möglich, einen böswilligen Link zu erstellen, der Skript-Code enthält, der im Browser eines befugten Benutzers ausgeführt wird, im Kontext der Website, auf der Bugzilla läuft. Dieses Problem könnte ausgenutzt werden, um cookie-basierende Authentifizierungs-Bescheinigungen von befugten Benutzern der Website zu stehlen, die die verwundbare Software verwendet.

Diese Verwundbarkeit betrifft nur Benutzer, die die 'quips'-Fähigkeit aktiviert haben und die von Version 2.10 aktualisieren, die nicht in Debian existiert. Die Debian-Paket-Geschichte von Bugzilla beginnt mit 1.13 und sprang auf 2.13. Jedoch könnten Benutzer Version 2.10 vor dem Debian-Paket installiert haben.

Für die aktuelle stable Distribution (Woody) wurde dieses Problem in Version 2.14.2-0woody3 behoben.

Die alte stable Distribution (Potato) enthält kein Bugzilla-Paket.

Für die unstable Distribution (Sid) wird dieses Problem bald behoben sein.

Wir empfehlen Ihnen, Ihre bugzilla-Pakete zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody3.dsc
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody3.diff.gz
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.14.2-0woody3_all.deb
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody3_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.