Debianin tietoturvatiedote

DSA-218-1 bugzilla -- ristiinlinkittävä komentosarja

Ilmoitettu:
30.12.2002
Vaikutuksen alaiset paketit:
bugzilla
Altis:
Kyllä
Viittaukset tietoturvatietokantoihin:
Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 6257.
Lisätietoa:

Bugzillasta, www-pohjaisesta vianjäljitysjärjestelmästä, on löytynyt ristiinlinkittävän komentosarjan mahdollistava haavoittuvuus. Bugzilla ei siisti kunnollisesti quips:issa käytettävää, käyttäjien lähettämää syötettä. Tästä seuraa, että etähyökkääjän on mahdollista luoda Bugzillaa ajavan verkkosivuston sisältöön pahantahtoinen linkki jonka sisältämä skripti suoritetaan oikeutetun käyttäjän selaimessa. Tätä haavoittuvuutta hyväksikäyttämällä on mahdollista varastaa evästepohjaisen tunnistuksen valtuutus altista ohjelmistoa käyttävän www-sivuston oikeutetuilta käyttäjiltä.

Tämä haavoittuvuus koskee vain käyttäjiä jotka käyttävät "quips"-ominaisuutta ja jotka päivittivät versiosta 2.10, mikä ei kuulunut Debian-jakeluun. Debianin bugzilla-paketin historia alkaa versiosta 1.13 ja hyppää versionumeroon 2.13. Käyttäjät ovat kuitenkin saattaneet asentaa version 2.10 ennen Debian-paketin ilmestymistä.

Ongelma on korjattu nykyisen vakaan jakelun (woody) versiossa 2.14.2-0woody3.

Aiempi vakaa jakelu (potato) ei sisällä Bugzilla-pakettia.

Korjaukset epävakaalle jakelulle (sid) ilmestyvät piakkoin.

Suosittelemme päivittämään bugzilla-paketit.

Korjattu:

Debian GNU/Linux 3.0 (woody)

Lähde:
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody3.dsc
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody3.diff.gz
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2.orig.tar.gz
Arkkitehtuuririippumaton komponentti:
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.14.2-0woody3_all.deb
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody3_all.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.