Debian-Sicherheitsankündigung

DSA-173-1 bugzilla -- Privilegien-Erweiterung

Datum des Berichts:

09. Okt 2002

Betroffene Pakete:

bugzilla

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2002-1196.

Weitere Informationen:

Die Entwickler von Bugzilla, einer Web-basierten Fehlerdatenbank, entdeckten ein Problem in der Behandlung von mehr als 47 Gruppen. Wenn ein neues Produkt zu einer Installation mit 47 oder mehr Gruppen hinzugefügt wird und "usebuggroups" aktiviert ist, wird der neuen Gruppe ein Gruppierungs-Bit mittels Perl-Mathematik zugewiesen, das nicht genau innerhalb 2⁴⁸ liegt. Dies resultiert darin, dass die neue Gruppe mit einem "bit" definiert ist, das mehrere Bits gesetzt hat. Da Benutzer Zugriff auf die neue Gruppe erhalten, erhalten diese Benutzer ebenfalls Zugriff auf fälschlich niedrigere Gruppen-Privilegien. Ebenfalls wurden Gruppen-Bits nicht immer wiederverwendet, wenn Gruppen gelöscht wurden.

Dieses Problem wurde in Version 2.14.2-0woody2 für die aktuelle stable Distribution (Woody) behoben, und wird bald in der unstable Distribution (Sid) behoben werden. Die alte stable Distribution (Potato) enthält das bugzilla-Paket nicht.

Wir empfehlen Ihnen, Ihr bugzilla-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:: http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2.dsc; http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2.diff.gz; http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2.orig.tar.gz
Architektur-unabhängige Dateien:: http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.14.2-0woody2_all.deb; http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.