Bugzillan, www-pohjaisen vianjäljitysjärjestelmän, tekijät ovat löytäneet ohjelmasta kaksi haavoittuvuutta. The Common Vulnerabilities and Exposures-projekti tunnisti seuraavat haavoittuvuudet:
Ohjelman mukana tuleva tiedonkeruuskripti, joka on tarkoitettu ajettavaksi yön hämyssä cron-tehtävänä, vaihtaa aina sitä ajettaessa kirjoitusoikeudet data/mining-hakemistoon kaikille. Tämän johdosta paikalliset käyttäjät voivat muuttaa tai tuhota kerättyjä tietoja.
checksetup.pl:än oletusarvoiset .htaccess-skriptit eivät estä pääsyä localconfig-tiedoston varmuuskopioihin, joita tekstinkäsittelyohjelmat, kuten vi tai emacs, saattavat luoda (tyypillisesti niissä on .swp- tai ~-liite). Tästä johtuen käyttäjä voi saada käsiinsä jonkin varmuuskopioista ja sen mukana mahdollisesti tietokannan salasanan.
Tämä ei vaikuta Debian-asennukseen koska .htaccess-tiedostoa ei ole, sillä kaikki data-tiedostot eivät ole CGI-polulla toisin kuin vakiossa Bugzilla-paketissa. Lisäksi, asetukset ovat /etc/bugzilla/localconfig-tiedostossa ja täten www-hakemiston ulkopuolella.
Nämä ongelmat on korjattu nykyisen vakaan jakelun (woody) versiossa 2.14.2-0woody4 .
Aiempi vakaa jakelu (potato) ei sisällä Bugzilla-pakettia.
Korjaus epävakaalle jakelulle (sid) ilmestyy piakkoin.
Suosittelemme päivittämään bugzilla-paketit.
Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.