Debian-Sicherheitsankündigung

DSA-1208-1 bugzilla -- Mehrere Verwundbarkeiten

Datum des Berichts:
11. Nov 2006
Betroffene Pakete:
bugzilla
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Debian-Fehlerdatenbank: Fehler 395094, Fehler 329387.
In Mitres CVE-Verzeichnis: CVE-2005-4534, CVE-2006-5453.
Weitere Informationen:

Mehrere entfernt ausnutzbare Verwundbarkeiten wurden im Bugzilla-Fehlerverfolgungssystem entdeckt, die zur Ausführung beliebigen Codes führen können. Das Common Vulnerabilities and Exposures-Projekt identifiziert die folgenden Probleme:

  • CVE-2005-4534

    Javier Fernández-Sanguino Peña entdeckte, dass eine unsichere Verwendung temporärer Dateien zu einer Diensteverweigerung (denial of service) durch einen Symlink-Angriff führen kann.

  • CVE-2006-5453

    Mehrere Site-übergreifende Skripting-Verwundbarkeiten können zur Einschleusung von beliebigen Web-Script-Code führen.

Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 2.16.7-7sarge2 behoben.

Für die kommende Stable-Distribution (Etch) wurden diese Probleme in Version 2.22.1-1 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 2.22.1-1 behoben.

Wir empfehlen Ihnen, Ihre bugzilla-Pakete zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (sarge)

Quellcode:
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.16.7-7sarge2.dsc
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.16.7-7sarge2.diff.gz
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.16.7.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.16.7-7sarge2_all.deb
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.16.7-7sarge2_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.