Aviso de seguridad de Debian

DSA-218-1 bugzilla -- scripts a través del sitio

Fecha del informe:
30 de dic de 2002
Paquetes afectados:
bugzilla
Vulnerable:
Referencias a bases de datos de seguridad:
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 6257.
Información adicional:

Se ha informado de una vulnerabilidad de scripts a través del sitio en Bugzilla, un sistema de seguimiento de fallos basado en web. Bugzilla no saneaba adecuadamente todas las entradas enviadas por los usuarios para utilizarlas en los quips (QUality Improvements Per Second - mejoras de calidad por segundo). Como resultado, era posible que un atacante remoto creara un enlace malvado con un código de script que se ejecutaba en el navegador de un usuario legítimo, en el contexto del sitio web que estuviera ejecutando Bugzilla. Esto se podía explotar para robar cookies de credenciales de autentificación de usuarios legítimos del sitio web que estuviera ejecutando el software vulnerable.

Esta vulnerabilidad sólo afecta a los usuarios que tengan activada la característica «quips» y a los que se actualizaron desde la versión 2.10, que no existía en Debian. La historia del paquete de Debian en Bugzilla comienza con la 1.13 y saltó a la 2.13. Sin embargo, los usuarios podían haber instalado la versión 2.10 antes del paquete Debian.

Para la distribución estable actual (woody), este problema se ha corregido en la versión 2.14.2-0woody3.

La distribución estable anterior (potato) no contenía el paquete Bugzilla.

Para la distribución inestable (sid), este problema se corregirá pronto.

Le recomendamos que actualice los paquetes de bugzilla.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody3.dsc
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody3.diff.gz
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2.orig.tar.gz
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.14.2-0woody3_all.deb
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody3_all.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.