Alerta de Segurança Debian
DSA-230-1 bugzilla -- permissões inseguras, arquivos falsos de backup
- Data do Alerta:
- 16 Jan 2003
- Pacotes Afetados:
- bugzilla
- Vulnerável:
- Sim
- Referência à base de dados de segurança:
- Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 6501, ID BugTraq 6502.
No dicionário CVE do Mitre: CVE-2003-0012, CVE-2003-0013. - Informações adicionais:
-
Duas vulnerabilidades foram descobertas no Bugzilla, um sistema de acompanhamento de falhas via web, pelo seu autor. O projeto Common Vulnerabilities and Exposures identificou as seguintes vulnerabilidades:
- CAN-2003-0012 (BugTraq ID 6502)
-
O script de coleção de dados fornecido, cujo objetivo é ser executado como um job noturno do cron, muda as permissões do diretório de dados para que todos possam escrever no mesmo cada vez que é executado. Isto pode permitir que usuários locais alterem ou deletem os dados coletados.
- CAN-2003-0013 (BugTraq ID 6501)
-
O script .htaccess padrão fornecido pelo checksetup.pl não bloqueia o acesso a backups do arquivo localconfig que pode ser criado por editores como o vi ou o emacs (tipicamente este terá uma extensão .swp ou ~). Isto permite que um usuário final realize o download de uma das cópias de backup e potencialmente obtenha a senha da sua base de dados.
Isto não afeta a instalação realizado pelo pacote Debian porque não há o arquivo .htaccess assim como todos os arquivos de dados não estão debaixo do path CGI como é feito na instalação padrão do Bugzilla. Adicionalmente, o arquivo de configuração está em /etc/bugzilla/localconfig e não em um diretório web que possa ser acessado externamente.
Na atual distribuição estável (woody) estes problemas foram corrigidos na versão 2.14.2-0woody4.
A antiga distribuição estável (potato) não contém um pacote do Bugzilla.
Na distribuição instável (sid), este problema será corrigido em breve.
Nós recomendamos que você atualize seus pacotes bugzilla.
- Corrigido em:
-
Debian GNU/Linux 3.0 (woody)
- Fonte:
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4.dsc
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4.diff.gz
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4.diff.gz
- Componente independente de arquitetura:
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.14.2-0woody4_all.deb
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4_all.deb
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4_all.deb
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.