Bulletin d'alerte Debian

DSA-1208-1 bugzilla -- Plusieurs vulnérabilités

Date du rapport :
11 novembre 2006
Paquets concernés :
bugzilla
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 395094, Bogue 329387.
Dans le dictionnaire CVE du Mitre : CVE-2005-4534, CVE-2006-5453.
Plus de précisions :

Plusieurs vulnérabilités à distance ont été découvertes dans le système de suivi de bogues Bugzilla basé sur une interface web, cela peut conduire à l'exécution de code arbitraire. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :

  • CVE-2005-4534

    Javier Fernández-Sanguino Peña a découvert que l'utilisation de fichiers temporaires peu sûrs pouvait conduire à un déni de service par une attaque par lien symbolique.

  • CVE-2006-5453

    Plusieurs vulnérabilités par script intersites peuvent conduire à l'injection de code de script web arbitraire.

Pour la distribution stable (Sarge), ces problèmes ont été corrigés dans la version 2.16.7-7sarge2.

Pour la prochaine distribution stable (Etch), ces problèmes ont été corrigés dans la version 2.22.1-1.

Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 2.22.1-1.

Nous vous recommandons de mettre à jour vos paquets bugzilla.

Corrigé dans :

Debian GNU/Linux 3.1 (sarge)

Source :
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.16.7-7sarge2.dsc
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.16.7-7sarge2.diff.gz
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.16.7.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.16.7-7sarge2_all.deb
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.16.7-7sarge2_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.