Bulletin d'alerte Debian

DSA-1208-1 bugzilla -- Plusieurs vulnérabilités

Date du rapport :

11 novembre 2006

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 395094, Bogue 329387.
Dans le dictionnaire CVE du Mitre : CVE-2005-4534, CVE-2006-5453.

Plus de précisions :

Plusieurs vulnérabilités à distance ont été découvertes dans le système de suivi de bogues Bugzilla basé sur une interface web, cela peut conduire à l'exécution de code arbitraire. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :

CVE-2005-4534
Javier Fernández-Sanguino Peña a découvert que l'utilisation de fichiers temporaires peu sûrs pouvait conduire à un déni de service par une attaque par lien symbolique.
CVE-2006-5453
Plusieurs vulnérabilités par script intersites peuvent conduire à l'injection de code de script web arbitraire.

Pour la distribution stable (Sarge), ces problèmes ont été corrigés dans la version 2.16.7-7sarge2.

Pour la prochaine distribution stable (Etch), ces problèmes ont été corrigés dans la version 2.22.1-1.

Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 2.22.1-1.

Nous vous recommandons de mettre à jour vos paquets bugzilla.

Corrigé dans :

Debian GNU/Linux 3.1 (sarge)

Source :: http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.16.7-7sarge2.dsc; http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.16.7-7sarge2.diff.gz; http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.16.7.orig.tar.gz
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.16.7-7sarge2_all.deb; http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.16.7-7sarge2_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.