Debian セキュリティ勧告

DSA-218-1 bugzilla -- クロスサイトスクリプティング

報告日時:
2002-12-30
影響を受けるパッケージ:
bugzilla
危険性:
あり
参考セキュリティデータベース:
(SecurityFocus の) Bugtraq データベース: BugTraq ID 6257.
詳細:

Bugzilla (ウェブベースのバグトラッキングシステム) に クロスサイトスクリプティング脆弱性があることが報告されました。 Bugzilla は、ユーザからの入力を適切にサニタイズしていませんでした。 その結果、リモートの攻撃者はスクリプトコードを含む悪意をもったリンクを作成 し、Bugzilla を実行しているウェブサイトのコンテキストの中で 正規ユーザのブラウザでそれを実行させることが可能となります。 この問題は、脆弱性のあるソフトウェアを動かしているウェブサイトの 正規ユーザから、認証用のためのクッキーを盗むことを 可能としてしまいます。

この脆弱性は、'quips' 機能を有効にし、かつ Debian には含まれていない バージョン 2.10 からアップグレードしたユーザにのみ影響を与えます。 Debian パッケージの Bugzilla の履歴は、バージョン 1.13 に始まり、 バージョン 2.13 にに飛んでいます。 しかし、Debian パッケージを入れる以前にバージョン 2.10 を インストールするという場合もあるかもしれません。

現安定版 (stable)(woody) では、この問題はバージョン 2.14.2-0woody3 で修正されています。

旧安定版 (potato) には、Bugzilla パーッケージは含まれていません。

不安定版 (unstable)(sid) では、すぐに修正される予定です。

bugzilla パッケージをアップグレードすることをお勧めします。

修正:

Debian GNU/Linux 3.0 (woody)

ソース:
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody3.dsc
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody3.diff.gz
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2.orig.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.14.2-0woody3_all.deb
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody3_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。