Рекомендация Debian по безопасности
DSA-230-1 bugzilla -- опасные права доступа, поддельные копии файлов
- Дата сообщения:
- 16.01.2003
- Затронутые пакеты:
- bugzilla
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 6501, Идентификатор BugTraq 6502.
В каталоге Mitre CVE: CVE-2003-0012, CVE-2003-0013. - Более подробная информация:
-
Авторами обнаружены два уязвимых места в Bugzilla, web-ориентированной системе отслеживания ошибок. Проект Common Vulnerabilities and Exposures Project идентифицировал следующие уязвимости:
- CAN-2003-0012 (BugTraq ID 6502)
-
Предоставленный скрипт сборки данных, который должен выполняться ежедневно из cron, при каждом запуске изменяет права доступа каталога data/mining, разрешая всем запись в него. Это позволяет локальным пользователям изменять или удалять собранные данные.
- CAN-2003-0013 (BugTraq ID 6501)
-
Скрипты .htaccess по умолчанию, создаваемые checksetup.pl, не блокируют доступ к резервным копиям файла localconfig, который могут быть созданы такими редакторами, как vi или emacs (обычно их имена имеют суффикс .swp или ~). Это позволяет конечному пользователю загрузить одну из резервных копий и, потенциально, получить пароль доступа к вашей базе данных.
Это не касается Bugzilla в поставке Debian. В ней .htaccess отсутствует, поскольку в пути CGI, в отличие от стандартного пакета Bugzilla, вообще нет файлов данных. Кроме того, конфигурация хранится в /etc/bugzilla/localconfig, вне каталога web.
В текущем стабильном дистрибутиве (woody) эти проблемы исправлены в версии 2.14.2-0woody4.
Старый стабильный дистрибутив (potato) не содержит пакета Bugzilla.
В нестабильном дистрибутиве (sid) эта проблема будет исправлена в ближайшее время.
Мы рекомендуем вам обновить пакет bugzilla.
- Исправлено в:
-
Debian GNU/Linux 3.0 (woody)
- Исходный код:
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4.dsc
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4.diff.gz
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.14.2-0woody4_all.deb
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4_all.deb
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.