Bulletin d'alerte Debian
DSA-230-1 bugzilla -- Permissions non sécurisées, fichiers de sauvegarde frauduleux
- Date du rapport :
- 16 janvier 2003
- Paquets concernés :
- bugzilla
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 6501, Identifiant BugTraq 6502.
Dans le dictionnaire CVE du Mitre : CVE-2003-0012, CVE-2003-0013. - Plus de précisions :
-
Deux failles ont été découvertes par les auteurs de Bugzilla, un système de suivi des bogues via le web. Le projet Common Vulnerabilities and Exposures a identifié les failles suivantes :
- CAN-2003-0012 (BugTraq ID 6502)
-
Le script fournissant la collection des données, censé être lancé dans une tâche de cron nocturne, modifie les permissions du répertoire data/mining et le rend accessible en écriture pour tout le monde. Cela peut permettre à des utilisateurs locaux d'altérer ou d'effacer les données qui ont été rassemblées.
- CAN-2003-0013 (BugTraq ID 6501)
-
Les scripts .htaccess par défaut qui sont fabriqués par checksetup.pl n'empêche par l'accès aux sauvegardes du fichier localconfig qui peut être créé par des éditeurs tel que vi ou emacs (généralement ces fichiers contiennent les suffixes .swp ou ~). Cela permet à un utilisateur de télécharger une de ces copies de sauvegardes et éventuellement d'obtenir le mot de passe de votre base de données.
Cela ne concerne pas l'installation « Debian » car il n'y a pas de fichier .htaccess étant donné que tous les fichiers de données ne se trouvent pas dans le chemin des CGI comme ils le sont dans le paquet standard de Bugzilla. De plus, la configuration se trouve dans le fichier /etc/bugzilla/localconfig et par conséquent n'est pas visible depuis le répertoire web.
Pour l'actuelle distribution stable (Woody), ces problèmes ont été corrigés dans la version 2.14.2-0woody4.
L'ancienne distribution stable (Potato) ne contient pas de paquet Bugzilla.
Pour la distribution instable (Sid), ce problème sera prochainement corrigé.
Nous vous recommandons de mettre à jour vos paquets bugzilla.
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4.dsc
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4.diff.gz
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.14.2-0woody4_all.deb
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4_all.deb
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.