Aviso de seguridad de Debian
DSA-230-1 bugzilla -- permisos inseguros, archivos de respaldo adulterados
- Fecha del informe:
- 16 de ene de 2003
- Paquetes afectados:
- bugzilla
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 6501, Id. en BugTraq 6502.
En el diccionario CVE de Mitre: CVE-2003-0012, CVE-2003-0013. - Información adicional:
-
Se han descubierto dos vulnerabilidades en Bugzilla, un sistema de seguimiento de fallos basado en web. El proyecto CVE (Vulnerabilidades y Exposiciones Comunes) identifica las siguientes vulnerabilidades:
- CAN-2003-0012 (ID de BugTraq 6502)
-
El script de recolección de datos que se proporcionaba para ser lanzado cada noche cambiaba cada vez que se lanzaba los permisos del directorio de datos para que todo el mundo lo pudiera leer. Esto hacía posible que los usuarios locales cambiaran o borraran los datos recogidos.
- CAN-2003-0013 (ID de BugTraq 6501)
-
Los scripts .htaccess predeterminados proporcionados por checksetup.pl no bloqueaban el acceso a las copias de seguridad del archivo localconfig que se hubieran creado con editores como vi o emacs (típicamente, estos tendrían como sufijo .swp o ~). Esto permitía a un usuario final descargar una de las copias de seguridad y obtener potencialmente las contraseñas de su base de datos.
Esto no afecta a la instalación de Debian porque no hay .htaccess y ningún archivo de datos está bajo la ruta del CGI, ya que están en el paquete estándar de Bugzilla. Además, la configuración está en /etc/bugzilla/localconfig y, por tanto, fuera del directorio web.
Para la distribución estable actual (woody), estos problemas se han corregido en la versión 2.14.2-0woody4.
La distribución estable anterior (potato) no tenía el paquete Bugzilla.
Para la distribución inestable (sid), este problema se corregirá pronto.
Le recomendamos que actualice los paquetes de bugzilla.
- Arreglado en:
-
Debian GNU/Linux 3.0 (woody)
- Fuentes:
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4.dsc
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4.diff.gz
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4.diff.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.14.2-0woody4_all.deb
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4_all.deb
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4_all.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.