Debianin tietoturvatiedote
DSA-230-1 bugzilla -- epäluotettavat käyttäjäoikeudet ja varmuuskopiot
- Ilmoitettu:
- 16. 1.2003
- Vaikutuksen alaiset paketit:
- bugzilla
- Altis:
- Kyllä
- Viittaukset tietoturvatietokantoihin:
- Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 6501, BugTraq-tunniste 6502.
Mitren CVE-sanakirjassa: CVE-2003-0012, CVE-2003-0013. - Lisätietoa:
-
Bugzillan, www-pohjaisen vianjäljitysjärjestelmän, tekijät ovat löytäneet ohjelmasta kaksi haavoittuvuutta. The Common Vulnerabilities and Exposures-projekti tunnisti seuraavat haavoittuvuudet:
- CAN-2003-0012 (BugTraq ID 6502)
-
Ohjelman mukana tuleva tiedonkeruuskripti, joka on tarkoitettu ajettavaksi yön hämyssä cron-tehtävänä, vaihtaa aina sitä ajettaessa kirjoitusoikeudet data/mining-hakemistoon kaikille. Tämän johdosta paikalliset käyttäjät voivat muuttaa tai tuhota kerättyjä tietoja.
- CAN-2003-0013 (BugTraq ID 6501)
-
checksetup.pl:än oletusarvoiset .htaccess-skriptit eivät estä pääsyä localconfig-tiedoston varmuuskopioihin, joita tekstinkäsittelyohjelmat, kuten vi tai emacs, saattavat luoda (tyypillisesti niissä on .swp- tai ~-liite). Tästä johtuen käyttäjä voi saada käsiinsä jonkin varmuuskopioista ja sen mukana mahdollisesti tietokannan salasanan.
Tämä ei vaikuta Debian-asennukseen koska .htaccess-tiedostoa ei ole, sillä kaikki data-tiedostot eivät ole CGI-polulla toisin kuin vakiossa Bugzilla-paketissa. Lisäksi, asetukset ovat /etc/bugzilla/localconfig-tiedostossa ja täten www-hakemiston ulkopuolella.
Nämä ongelmat on korjattu nykyisen vakaan jakelun (woody) versiossa 2.14.2-0woody4 .
Aiempi vakaa jakelu (potato) ei sisällä Bugzilla-pakettia.
Korjaus epävakaalle jakelulle (sid) ilmestyy piakkoin.
Suosittelemme päivittämään bugzilla-paketit.
- Korjattu:
-
Debian GNU/Linux 3.0 (woody)
- Lähde:
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4.dsc
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4.diff.gz
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4.diff.gz
- Arkkitehtuuririippumaton komponentti:
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.14.2-0woody4_all.deb
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4_all.deb
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4_all.deb
Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.