Säkerhetsbulletin från Debian
DSA-230-1 bugzilla -- osäkra filrättigheter, läsbara säkerhetskopior
- Rapporterat den:
- 2003-01-16
- Berörda paket:
- bugzilla
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 6501, BugTraq-id 6502.
I Mitres CVE-förteckning: CVE-2003-0012, CVE-2003-0013. - Ytterligare information:
-
Två sårbarheter har upptäckts i Bugzilla, ett webbaserad felrapporteringssystem, av dess författare. Common Vulnerabilities and Exposures Project identifierar följande sårbarheter:
- CAN-2003-0012 (BugTraq-id 6502)
-
Det tillhandahållna datainsamlingsskript som är avsett att köras av ett nattligt cronjobb ändrar filrättigheterna för katalogen data/mining till att vara skrivbar av alla varje gång det körs. Detta gör det möjligt för lokala användare att ändra eller ta bort insamlat data.
- CAN-2003-0013 (BugTraq-id 6501)
-
Standard-.htaccess-skripten som medföljer checksetup.pl blockerar inte tillgång till säkerhetskopior av localconfig-filen som kan ha skapats av redigeringsprogram som vi eller emacs (dessa har typiskt filtillägget .swp eller ~). Detta gör det möjligt för en slutanvändare att hämta en av dessa säkerhetskopior och möjligen få tillgång till ditt databaslösenord.
Detta påverkar inte Debianinstallationen eftersom det inte finns någon .htacess, då alla datafiler befinner sig utanför CGI-sökvägen i motsättning till det vanliga Bugzillapaketet. Dessutom finns är konfigurationsfilen i /etc/bugzilla/localconfig och därmed utanför webbkatalogen.
För den nuvarande stabila utgåvan (Woody) har dessa problem rättats i version 2.14.2-0woody4.
Den gamla stabila utgåvan (Potato) innehåller inte något Bugzillapaket.
För den instabila utgåvan (Sid) kommer detta problem rättas inom kort.
Vi rekommenderar att ni uppgraderar era bugzilla-paket.
- Rättat i:
-
Debian GNU/Linux 3.0 (woody)
- Källkod:
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4.dsc
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4.diff.gz
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.14.2-0woody4_all.deb
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4_all.deb
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.