Debian-Sicherheitsankündigung

DSA-1208-1 bugzilla -- Mehrere Verwundbarkeiten

Datum des Berichts:

11. Nov 2006

Betroffene Pakete:

bugzilla

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In der Debian-Fehlerdatenbank: Fehler 395094, Fehler 329387.
In Mitres CVE-Verzeichnis: CVE-2005-4534, CVE-2006-5453.

Weitere Informationen:

Mehrere entfernt ausnutzbare Verwundbarkeiten wurden im Bugzilla-Fehlerverfolgungssystem entdeckt, die zur Ausführung beliebigen Codes führen können. Das Common Vulnerabilities and Exposures-Projekt identifiziert die folgenden Probleme:

CVE-2005-4534
Javier Fernández-Sanguino Peña entdeckte, dass eine unsichere Verwendung temporärer Dateien zu einer Diensteverweigerung (denial of service) durch einen Symlink-Angriff führen kann.
CVE-2006-5453
Mehrere Site-übergreifende Skripting-Verwundbarkeiten können zur Einschleusung von beliebigen Web-Script-Code führen.

Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 2.16.7-7sarge2 behoben.

Für die kommende Stable-Distribution (Etch) wurden diese Probleme in Version 2.22.1-1 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 2.22.1-1 behoben.

Wir empfehlen Ihnen, Ihre bugzilla-Pakete zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (sarge)

Quellcode:: http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.16.7-7sarge2.dsc; http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.16.7-7sarge2.diff.gz; http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.16.7.orig.tar.gz
Architektur-unabhängige Dateien:: http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.16.7-7sarge2_all.deb; http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.16.7-7sarge2_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.