Alerta de Segurança Debian

DSA-218-1 bugzilla -- cross site scripting

Data do Alerta:
30 Dez 2002
Pacotes Afetados:
bugzilla
Vulnerável:
Sim
Referência à base de dados de segurança:
Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 6257.
Informações adicionais:

Uma vulnerabilidade cross site scripting foi relatada para o Bugzilla, um sistema de registro de bugs baseado na web. O Bugzilla não limpa apropriadamente qualquer entrada submetida por usuários para uso inadequado. Como resultado, é possível para um atacante remoto criar um link malicioso contendo um código script que será executado no navegador de um usuário legítimo, no contexto de um site rodando o Bugzilla. Esse bug pode ser explorado para roubar credenciais de autenticação baseadas em cookies de usuários legítimos de um site da web rodando o software vulnerável.

Essa vulnerabilidade somente afeta que tem a característica 'quips' habilitada e quem atualizou da versão 2.10 que não existe dentro do Debian. A história do pacote Debian do Bugzilla inicia com a 1.13 e pula para a 2.13. Entretanto, usuários podem ter instalado a versão 2.10 no lugar de instalar o pacote Debian.

Para a atual distribuição estável (woody) esse problema foi corrigido na versão 2.14.2-0woody3.

A antiga distribuição (potato) não contém o pacote Bugzilla.

Para a atual distribuição instável (sid) esse problema será corrigido logo.

Nós recomendamos que atualize seu pacote do Bugzilla.

Corrigido em:

Debian GNU/Linux 3.0 (woody)

Fonte:
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody3.dsc
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody3.diff.gz
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2.orig.tar.gz
Componente independente de arquitetura:
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.14.2-0woody3_all.deb
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody3_all.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.