Debians sikkerhedsbulletin
DSA-230-1 bugzilla -- usikre rettigheder, adgang til backupfiler
- Rapporteret den:
- 16. jan 2003
- Berørte pakker:
- bugzilla
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 6501, BugTraq-id 6502.
I Mitres CVE-ordbog: CVE-2003-0012, CVE-2003-0013. - Yderligere oplysninger:
-
Forfatterne til Bugzilla, et webbaseret fejlsporingssystem, har opdaget to fejl i programmet. Projektet Common Vulnerabilities and Exposures Project har fundet frem til følgende sårbarheder:
- CAN-2003-0012 (BugTraq-ID 6502)
-
Det medfølgende dataopsamlingsscript, som det er meningen skal køre som et natligt cronjob, ændrer rettighederne på mappen data/mining hver gang scriptet kører til at være skrivbart af alle. Dette kan give lokale brugere mulighed for at ændre eller slette de opsamlede data.
- CAN-2003-0013 (BugTraq-ID 6501)
-
Standardudgaverne af .htaccess-scriptene der kommer via checksetup.pl, blokerer ikke for adgang til backup'er af filen localconfig, som blandt andre kan oprettes af editorer som "vi" og "emacs" (normalt vil disse filer slutte på .swp eller ~). Dette giver en slutbruger mulighed for at hente en af backupkopierne og potentielt få fat i adgangskoden til databasen.
Dette påvirker ikke Debian-installationen, fordi der ikke er en .htaccess-fil og fordi ingen datafiler befinder sig på CGI-stien, da de er i standard-Bugzilla-pakken. Desuden er opsætningen i /etc/bugzilla/localconfig og derfor udenfor webmappen.
I den akuelle stabile distribution (woody) er disse problemer rettet i version 2.14.2-0woody4.
Den gamle stabile distribution (potato) indeholder ikke en Bugzilla-pakke.
Problemet vil snart blive rettet i den ustabile distribution (sid).
Vi anbefaler at du opgraderer dine bugzilla-pakker.
- Rettet i:
-
Debian GNU/Linux 3.0 (woody)
- Kildekode:
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4.dsc
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4.diff.gz
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.14.2-0woody4_all.deb
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4_all.deb
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.