Säkerhetsbulletin från Debian
DSA-173-1 bugzilla -- utökning av privilegier
- Rapporterat den:
- 2002-10-09
- Berörda paket:
- bugzilla
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2002-1196.
- Ytterligare information:
-
Utvecklarna av Bugzilla, ett webbaserat felhanteringssystem, upptäckte ett problem med hanteringen av fler än 47 grupper. När en ny produkt läggs till en installation med 47 grupper eller fler och ”usebuggroups” är aktiverat kommer den nya gruppen att tilldelas en gruppuppsättningsbit med hjälp av Perlmatematik som inte är exakt bortom 248. Detta får till följd att den nya gruppen får en ”bit” som har flera bitar satta. När användare får tillgång till den nya gruppen kommer de även att få tillgång till felaktiga lägre gruppers privilegier. Dessutom återanvändes inte alltid gruppbitar när grupper togs bort.
Detta problem har rättats i version 2.14.2-0woody2 för den nuvarande stabila utgåvan (Woody) och kommer inom kort att rättas i den instabila utgåvan (Sid). Den gamla stabila utgåvan (Potato) innehåller inte något bugzilla-paket.
Vi rekommenderar att ni uppgraderar ert bugzilla-paket.
- Rättat i:
-
Debian GNU/Linux 3.0 (woody)
- Källkod:
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2.dsc
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2.diff.gz
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.14.2-0woody2_all.deb
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2_all.deb
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.