Debian-Sicherheitsankündigung

DSA-1913-1 bugzilla -- Verwundbarkeit durch SQL-Einschleusung

Datum des Berichts:
17. Okt 2009
Betroffene Pakete:
bugzilla
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Debian-Fehlerdatenbank: Fehler 547132.
In Mitres CVE-Verzeichnis: CVE-2009-3165.
Weitere Informationen:

Max Kanat-Alexander, Bradley Baetz und Frédéric Buclin entdeckten eine Verwundbarkeit durch SQL-Einschleusung in der WebService-Funktion Bug.create in Bugzilla, einem webbasierten Fehlerverwaltungssystem, wodurch es entfernten Angreifern ermöglicht wird, beliebige SQL-Befehle auszuführen.

Die alte Stable-Distribution (Etch) ist von diesem Problem nicht betroffen.

Für die Stable-Distribution (Lenny) wurde dieses Problem in Version 3.0.4.1-2+lenny2 behoben.

Für die Testing-Distribution (Squeeze) und die Unstable-Distribution (Sid) wird dieses Problem bald behoben sein.

Wir empfehlen Ihnen, Ihre bugzilla-Pakete zu aktualisieren.

Behoben in:

Debian GNU/Linux 5.0 (lenny)

Quellcode:
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_3.0.4.1-2+lenny2.dsc
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_3.0.4.1-2+lenny2.diff.gz
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_3.0.4.1.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla3_3.0.4.1-2+lenny2_all.deb
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla3-doc_3.0.4.1-2+lenny2_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.