Bulletin d'alerte Debian

DSA-173-1 bugzilla -- Usurpation de droits

Date du rapport :

9 octobre 2002

Paquets concernés :

bugzilla

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2002-1196.

Plus de précisions :

Les développeurs de Bugzilla, un système de traçabilité des bogues avec une interface web, ont découvert un problème dans la gestion de plus de 47 groupes. Quand un nouveau produit est ajouté à un système avec plus de 47 groupes et l'option « usebuggroups » activée, le nouveau groupe se voit assigné son bit de groupe par Perl math qui n'est pas exact au-delà de 2⁴⁸. Le résultat est que le groupe n'est pas défini par un unique bit mais plusieurs. Les utilisateurs de ce groupe auront aussi accès aux droits des groupes dont les bits ont été activés par cette erreur. Aussi les bits de groupe n'étaient pas recyclés une fois le groupe détruit.

Ce problème est réglé dans la version 2.14.2-0woody2 pour l'actuelle distribution stable (Woody) et sera bientôt réparé pour la distribution instable (Sid). L'ancienne distribution stable (Potato) ne contient pas le paquet bugzilla.

Nous vous recommandons de mettre à jour votre paquet bugzilla.

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :: http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2.dsc; http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2.diff.gz; http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2.orig.tar.gz
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.14.2-0woody2_all.deb; http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.