Рекомендация Debian по безопасности
DSA-173-1 bugzilla -- повышение привилегий
- Дата сообщения:
- 09.10.2002
- Затронутые пакеты:
- bugzilla
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2002-1196.
- Более подробная информация:
-
Разработчики Bugzilla, системы отслеживания ошибок на основе веб, обнаружили проблему, которая проявляется при обработке более, чем 47 групп. Когда добавляется новый продукт в установку с уже имеющимися 47 или более группами, а также когда включена опция "usebuggroups", то новой группе будет назначен групповой бит с использованием математического модуля Perl, которые не предоставляет точных чисел больше 248. Это приводит к тому, что новая группа определяется
битом
, которые имеет несколько установленных битов. Поскольку пользователи получают доступ к новой группе, то эти пользователи также ошибочно получают доступ к более низким группам. Кроме того, биты групп не всегда повторно используются при удалении группы.Эта проблема была исправлена в версии 2.14.2-0woody2 для текущего стабильного выпуска (woody) и скоро будет исправлена в нестабильном выпуске (sid). В предыдущем стабильном выпуске (potato) пакет bugzilla отсутствует.
Рекомендуется обновить пакет bugzilla.
- Исправлено в:
-
Debian GNU/Linux 3.0 (woody)
- Исходный код:
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2.dsc
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2.diff.gz
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.14.2-0woody2_all.deb
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2_all.deb
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.