Debian-Sicherheitsankündigung
DSA-218-1 bugzilla -- Site-übergreifendes Skripting
- Datum des Berichts:
- 30. Dez 2002
- Betroffene Pakete:
- bugzilla
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 6257.
- Weitere Informationen:
-
Von einer Site-übergreifenden Skripting-Verwundbarkeit für Bugzilla wurde berichtet, einer web-basierten Fehlerdatenbank. Bugzilla prüfte keinerlei Eingaben eines Benutzers für die Verwendung in quips auf Sinnhaftigkeit. Als Ergebnis ist es einem entfernten Angreifer möglich, einen böswilligen Link zu erstellen, der Skript-Code enthält, der im Browser eines befugten Benutzers ausgeführt wird, im Kontext der Website, auf der Bugzilla läuft. Dieses Problem könnte ausgenutzt werden, um cookie-basierende Authentifizierungs-Bescheinigungen von befugten Benutzern der Website zu stehlen, die die verwundbare Software verwendet.
Diese Verwundbarkeit betrifft nur Benutzer, die die 'quips'-Fähigkeit aktiviert haben und die von Version 2.10 aktualisieren, die nicht in Debian existiert. Die Debian-Paket-Geschichte von Bugzilla beginnt mit 1.13 und sprang auf 2.13. Jedoch könnten Benutzer Version 2.10 vor dem Debian-Paket installiert haben.
Für die aktuelle stable Distribution (Woody) wurde dieses Problem in Version 2.14.2-0woody3 behoben.
Die alte stable Distribution (Potato) enthält kein Bugzilla-Paket.
Für die unstable Distribution (Sid) wird dieses Problem bald behoben sein.
Wir empfehlen Ihnen, Ihre bugzilla-Pakete zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody3.dsc
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody3.diff.gz
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody3.diff.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.14.2-0woody3_all.deb
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody3_all.deb
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody3_all.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.