Bacheca Debian sulla sicurezza

DSA-173-1 bugzilla -- acquisizione di privilegi

Data della segnalazione:

09 ott 2002

Pacchetti coinvolti:

bugzilla

Vulnerabile:

Sì

Referenze all'interno del database della sicurezza:

Nel dizionario CVE di Mitre: CVE-2002-1196.

Maggiori informazioni:

Gli sviluppatori di BugZilla, un sistema per il tracciamento dei bug con interfaccia web, hanno scoperto un problema nella gestione di oltre 47 gruppi. Quando un nuovo prodotto è aggiunto ad una installazione con 47 gruppi o più e "usebuggroups" è abilitato, il nuovo gruppo avrà assegnato un bit usando la funzione bitset del Perl che non è esatta oltre 2⁴⁸. Questo risulta in un nuovo gruppo che ha il "bit" definito come vari bit. Man mano che si da agli utenti il diritto di accedere a questo gruppo si ottiene che essi guadagnano l'accesso ad altri gruppi. Inoltre, i bit dei gruppi non erano sempre riutilizzati quando i gruppi venivano cancellati.

Questo problema è stato risolto nella versione 2.14.2-0woody2 per la attuale distribuzione stable (woody) è sarà corretto prossimamente nella distribuzione unstable (sid). La vecchia distribuzione stable (potato) non contiene il pacchetto bugzilla.

Suggeriamo di aggiornare il proprio pacchetto bugzilla.

Risolto in:

Debian GNU/Linux 3.0 (woody)

Sorgente:: http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2.dsc; http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2.diff.gz; http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2.orig.tar.gz
Componente indipendente dall'architettura:: http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.14.2-0woody2_all.deb; http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2_all.deb

Somma di controllo MD5 per i file in elenco disponibile nella notizia originale.