Säkerhetsbulletin från Debian

DSA-218-1 bugzilla -- serveröverskridande skriptproblem

Rapporterat den:
2002-12-30
Berörda paket:
bugzilla
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 6257.
Ytterligare information:

En serveröverskridande skriptsårbarhet har rapporteras i Bugzilla, ett webbaserad felrapporteringssystem. Bugzilla städar inte korrekt upp indata som skall användas i quips från användare, varför det är möjligt för angripare utifrån att skapa en skadlig länk med skriptkod som kommer exekveras i en legitim användares webbläsare, i Bugzilla-webbplatsens kontext. Detta problem kan utnyttjas för att stjäla kakbaserad autentiseringsbehörighet från legitima användare på webbplatsen som kör den sårbara programvaran.

Denna sårbarhet påverkar endast användare som har ”quips”-funktionen aktiverad och som uppgraderade från version 2.10 som inte finns inom Debian. Debians pakethistorik för Bugzilla börjar med 1.13 och hoppade till 2.13. Användare kan dock ha installerat version 2.10 innan de installerade Debianpaketet.

För den nuvarande stabila utgåvan (Woody) har detta problem rättats i version 2.14.2-0woody3.

Den gamla stabila utgåvan (Potato) innehåller inte något Bugzillapaket.

För den instabila utgåvan (Sid) kommer detta problem rättas inom kort.

Vi rekommenderar att ni uppgraderar era bugzilla-paket.

Rättat i:

Debian GNU/Linux 3.0 (woody)

Källkod:
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody3.dsc
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody3.diff.gz
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.14.2-0woody3_all.deb
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody3_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.