Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2322-1 bugzilla

Debians sikkerhedsbulletin

DSA-2322-1 bugzilla -- flere sårbarheder

Rapporteret den:

10. okt 2011

Berørte pakker:

bugzilla

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2010-4567, CVE-2010-4568, CVE-2010-4572, CVE-2011-0046, CVE-2011-0048, CVE-2011-2379, CVE-2011-2380, CVE-2011-2381, CVE-2011-2978, CVE-2011-2979.

Yderligere oplysninger:

Flere sårbarheder blev opdaget Bugzilla, et webbaseret fejlsporingssystem.

• CVE-2010-4572

  Ved at indsætte specifikke strenge i visse URL'er, var det muligt at indsprøjte både headere og indhold i enhver browser.

• CVE-2010-4567, CVE-2011-0048

  Bugzilla har et URL-felt, der kan indeholde flere former for URL'er, herunder javascript:- og data:-URL'er. Men javascript:- og data:-URL'er gøres ikke til klikbare links, for at beskytte imod angreb i forbindelse med udførelse af skripter på tværs af websteder og andre angreb. Det var muligt at omgå beskyttelsen ved at tilføje mellemrum i URL, på steder hvor Bugzilla ikke forventede dem. Desuden blev javascript:- og data:-links altid vist som klikbare for brugere, der var logget af.

• CVE-2010-4568

  Det var muligt for en brugere at få uautoriseret adgang til enhver Bugzilla-konto i løbet af meget kort tid (kort nok til at angrebet var meget effektivt).

• CVE-2011-0046

  Forskellige sider var sårbar over for Cross-Site Request Forgery-angreb (forespørgselsforfalskninger på tværs af websteder). De fleste af disse problemer er ikke så alvorlige som tidligere CSRF-sårbarheder.

• CVE-2011-2978

  Når en bruger ændrer sin e-mail-adresse, stolede Bugzilla på et brugerredigerbart felt, til at få fat i den aktuelle e-mail-adresse, til at sende en bekræftelsesmail til. Hvis en angriber havde adgang til en anden brugers session (eksempelvis hvis den pågældende bruger efterlod sit browservindue åbent på et offentligt sted), kunne angriberen ændre dette felt til at få sendt e-mail-ændringsbeskeden sendt til sin egen adresse. Derved ville brugeren ikke få besked om, at vedkommendes e-mail-adresse var blevet ændret af angriberen.

• CVE-2011-2381

  Kun vedrørende flagmails kunne vedhæftelsesbeskrivelser indeholdende et linjeskift føre til indsprøjtning af fabrikerede headere i e-mail-beskeder, når vedhæftelsesflaget blev redigeret.

• CVE-2011-2379

  Bugzilla anvender en alternativ vært til vedhæftelser, når de vises i råt format, for at forhindre angreb i forbindelse med udførelse af skripter på tværs af websteder. Den alternative vært anvendes nu også når man viser patches i Raw Unified-tilstand, fordi Internet Explorer 8 og ældre, samt Safari før 5.0.6, foretager indholdssnusning, hvilket kunne føre til udførelse af ondsindet kode.

• CVE-2011-2380, CVE-2011-2979

  Normalt er et gruppenavn fortroligt og kun synligt for medlemmer af gruppen, og for ikke-medlemmer hvis gruppen anvendes i fejl. Ved at fabrikere en URL, når der oprettelse eller redigeres en fejl, var det muligt at gætte hvorvidt en gruppe fandtes eller ej, selv ved grupper der ikke blev anvendt i fejl og således fortsat skulle have været fortrolige.

I den gamle stabile distribution (lenny) var det upraktisk at tilbageføre patches for at rette disse fejl. Brugere af bugzilla på lenny opfordres kraftigt til at opgradere til versionen distributionen squeeze.

I den stabile distribution (squeeze), er disse problemer rettet i version 3.6.2.0-4.4.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er bugzilla-pakkerne blevet fjernet.

Vi anbefaler at du opgraderer dine bugzilla-pakker.