Alerta de Segurança Debian
DSA-173-1 bugzilla -- escalonamento de privilégio
- Data do Alerta:
- 09 Out 2002
- Pacotes Afetados:
- bugzilla
- Vulnerável:
- Sim
- Referência à base de dados de segurança:
- No dicionário CVE do Mitre: CVE-2002-1196.
- Informações adicionais:
-
Os desenvolvedores do Bugzilla, um sistema de controle de bugs baseado na web, descobriram um problema na manipulação de mais de 47 grupos. Quando um novo produto é adicionado a uma instalação com 47 grupos ou mais e "usebuggroups" está habilitado, o novo grupo será atribuído a um conjunto de grupo de bit usando o Perl math que não é exato além de 248. Isso faz com que o novo grupo seja definido com um "bit" que tem muitos conjuntos de bits. Como os usuários estão dando acesso ao novo grupo, aqueles usuários também ganharam acesso aos falsos privilégios do grupo. Além disso, bits de grupos não estão sendo reutilizados quando grupos são removidos.
Esse problema foi corrigido na versão 2.14.2-0woody2 para a atual distribuição estável (woody) e será o mais rápido possível corrigido na distribuição instável(sid). A antiga distribuição estável (potato) não contém os pacotes do bugzilla.
Nós recomendamos que você atualize seu pacote do bugzilla.
- Corrigido em:
-
Debian GNU/Linux 3.0 (woody)
- Fonte:
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2.dsc
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2.diff.gz
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2.diff.gz
- Componente independente de arquitetura:
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.14.2-0woody2_all.deb
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2_all.deb
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2_all.deb
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.