Bulletin d'alerte Debian

DSA-218-1 bugzilla -- Faille sur les éléments dynamiques

Date du rapport :
30 décembre 2002
Paquets concernés :
bugzilla
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 6257.
Plus de précisions :

Une faille sur les éléments dynamiques (cross site scripting) a été signalée pour Bugzilla, un système de suivi de bogues. Bugzilla ne protège pas systématiquement toutes les entrées des utilisateurs dans quips. La conséquence de cela est qu'il est possible pour un assaillant distant de créer un lien pernicieux, sur le site web qui fait fonctionner Bugzilla, qui contient un code qui sera interprété par le navigateur d'un utilisateur légitime. Cette faille peut être exploitée pour dérober le contenu d'un cookie d'authentification des utilisateurs légitimes d'un site web faisant fonctionner le logiciel vulnérable.

Cette faille affecte uniquement les utilisateurs qui ont activé l'option « quips » et qui ont fait une mise à jour depuis la version 2.10 qui n'existe pas dans Debian. L'histoire du paquet Debian de Bugzilla a commencé avec la version 1.13 et est passée à la version 2.13. Quoiqu'il en soit, les utilisateurs pourraient avoir installé la version 2.10 antérieure au paquet Debian.

Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 2.14.2-0woody3.

L'ancienne distribution stable (Potato) ne contient pas de paquet Bugzilla.

Pour la distribution instable (Sid), ce problème sera corrigé sous peu.

Nous vous recommandons de mettre à jour vos paquets bugzilla.

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody3.dsc
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody3.diff.gz
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.14.2-0woody3_all.deb
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody3_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.