[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[Segurança] [DSA 230-1] Novos pacotes bugzilla corrigem modificação não autorizada de dados

--------------------------------------------------------------------------
Alerta de Segurança Debian DSA 230-1                   security@debian.org
http://www.debian.org/security/                             Martin Schulze
16 de Janeiro de 2003			http://www.debian.org/security/faq
--------------------------------------------------------------------------

Pacote			: bugzilla
Vulnerabilidade		: permissões inseguras, arquivos falsos de backup
Tipo de Problema	: local
Específico ao Debian	: não
Id CVE			: CAN-2003-0012 CAN-2003-0013
Id no BugTraq		: 6501 6502

Duas vulnerabilidades foram descobertas no Bugzilla, um sistema de 
acompanhamento de falhas via web, pelo seu autor. O projeto Common 
Vulnerabilities and Exposures identificou as seguintes vulnerabilidades:

 * CAN-2003-0012 (BugTraq ID 6502): O script de coleção de dados fornecido,
   cujo objetivo é ser executado como um job noturno do cron, muda as 
   permissões do diretório de dados para que todos possam escrever no 
   mesmo cada vez que é executado. Isto pode permitir que usuários 
   locais alterem ou deletem os dados coletados. 

 * CAN-2003-0013 (BugTraq ID 6501): O script .htaccess padrão fornecido
   pelo checksetup.pl não bloqueia o acesso a backups do arquivo 
   localconfig que pode ser criado por editores como o vi ou o emacs 
   (tipicamente este terá uma extensão .swp ou ~).  Isto permite que 
   um usuário final realize o download de uma das cópias de backup e
   potencialmente obtenha a senha da sua base de dados. 

   Isto não afeta a instalação realizado pelo pacote Debian porque não há 
   o arquivo .htaccess assim como todos os arquivos de dados não estão 
   debaixo do path CGI como é feito na instalação padrão do Bugzilla. 
   Adicionalmente, o arquivo de configuração está em 
   /etc/bugzilla/localconfig e não em um diretório web que possa ser acessado
   externamente. 

Na atual distribuição estável (woody) estes problemas foram corrigidos 
na versão 2.14.2-0woody4.

A antiga distribuição estável (potato) não contém um pacote do Bugzilla.

Na distribuição instável (sid), este problema será corrigido em breve.

Nós recomendamos que você atualize seus pacotes bugzilla.


--------------------------------------------------------------------------
Essa é uma tradução do DSA original, enviado para a lista 
debian-security-announce@lists.debian.org. Caso queira receber os 
alertas em inglês e minutos depois de sua publicação, inscreva-se na 
lista acima, através do endereço:
http://www.debian.org/MailingLists/subscribe#debian-security-announce
--------------------------------------------------------------------------

Attachment: pgpvbizzecHOr.pgp
Description: PGP signature

Reply to: