Aviso de seguridad de Debian
DSA-173-1 bugzilla -- escalada de privilegios
- Fecha del informe:
- 9 de oct de 2002
- Paquetes afectados:
- bugzilla
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2002-1196.
- Información adicional:
-
Los desarrolladores de Bugzilla, un sistema de seguimiento de fallos basado en web, descubrieron un problema en la gestión de más de 47 grupos. Cuando se añade un nuevo producto a una instalación con 47 grupos o más y está activo «usebuggroups», al nuevo grupo se le asignará un bit de groupset usando las matemáticas de Perl que no es exactamente superior a 248. Esto da como resultado que se define un grupo nuevo con un «bit» que tiene varios bits puestos. Como los usuarios tienen acceso al grupo nuevo, estos usuarios también tendrán acceso a varios privilegios de los grupos inferiores. Tampoco se reusaban los bits de grupo cuando se borraban grupos.
Este problema se ha corregido en la versión 2.14.2-0woody2 para la distribución estable actual (woody) y pronto se corregirá en la distribución inestable (sid). La distribución estable anterior (potato) no tenía un paquete bugzilla.
Le recomendamos que actualice el paquete bugzilla.
- Arreglado en:
-
Debian GNU/Linux 3.0 (woody)
- Fuentes:
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2.dsc
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2.diff.gz
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2.diff.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.14.2-0woody2_all.deb
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2_all.deb
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2_all.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.