Bulletin d'alerte Debian

DSA-1913-1 bugzilla -- Vulnérabilité d'injection SQL

Date du rapport :
17 octobre 2009
Paquets concernés :
bugzilla
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 547132.
Dans le dictionnaire CVE du Mitre : CVE-2009-3165.
Plus de précisions :

Max Kanat-Alexander, Bradley Baetz, et Frédéric Buclin ont découvert une vulnérabilité d'injection SQL dans la fonction Bug.create du composant WebService de Bugzilla, un système de suivi de bogues avec interface web. Cela permet aux attaquants distants d'exécuter des commandes SQL arbitraires.

La distribution oldstable (Etch) n'est pas concernée par ce problème.

Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 3.0.4.1-2+lenny2.

Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour vos paquets bugzilla.

Corrigé dans :

Debian GNU/Linux 5.0 (lenny)

Source :
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_3.0.4.1-2+lenny2.dsc
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_3.0.4.1-2+lenny2.diff.gz
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_3.0.4.1.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla3_3.0.4.1-2+lenny2_all.deb
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla3-doc_3.0.4.1-2+lenny2_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.