Aviso de seguridad de Debian
DSA-1208-1 bugzilla -- varias vulnerabilidades
- Fecha del informe:
- 11 de nov de 2006
- Paquetes afectados:
- bugzilla
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el sistema de seguimiento de errores de Debian: error 395094, error 329387.
En el diccionario CVE de Mitre: CVE-2005-4534, CVE-2006-5453. - Información adicional:
-
Se han descubierto varias vulnerabilidades remotas en el sistema de seguimiento de fallos Bugzilla, que podía conducir a al ejecución de código arbitrario. El proyecto Common Vulnerabilities and Exposures ha identificado los siguientes problemas:
- CVE-2005-4534
Javier Fernández-Sanguino Peña descubrió que los archivos temporales inseguros podía conducir a la denegación de servicio mediante ataques de enlaces simbólicos.
- CVE-2006-5453
Varias vulnerabilidades de guiones por el sitio podían provocar la ejecución de código arbitrario de guiones web.
Para la distribución estable (sarge), estos problemas se han corregido en la versión 2.16.7-7sarge2.
Para la próxima distribución estable (etch), estos problemas se han corregido en la versión 2.22.1-1.
Para la distribución inestable (sid), estos problemas se han corregido en la versión 2.22.1-1.
Le rcomendamos que actualice los paquetes de bugzilla.
- CVE-2005-4534
- Arreglado en:
-
Debian GNU/Linux 3.1 (sarge)
- Fuentes:
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.16.7-7sarge2.dsc
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.16.7-7sarge2.diff.gz
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.16.7.orig.tar.gz
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.16.7-7sarge2.diff.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.16.7-7sarge2_all.deb
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.16.7-7sarge2_all.deb
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.16.7-7sarge2_all.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.