-------------------------------------------------------------------------- Alerta de Segurança Debian DSA 230-1 security@debian.org http://www.debian.org/security/ Martin Schulze 16 de Janeiro de 2003 http://www.debian.org/security/faq -------------------------------------------------------------------------- Pacote : bugzilla Vulnerabilidade : permissões inseguras, arquivos falsos de backup Tipo de Problema : local Específico ao Debian : não Id CVE : CAN-2003-0012 CAN-2003-0013 Id no BugTraq : 6501 6502 Duas vulnerabilidades foram descobertas no Bugzilla, um sistema de acompanhamento de falhas via web, pelo seu autor. O projeto Common Vulnerabilities and Exposures identificou as seguintes vulnerabilidades: * CAN-2003-0012 (BugTraq ID 6502): O script de coleção de dados fornecido, cujo objetivo é ser executado como um job noturno do cron, muda as permissões do diretório de dados para que todos possam escrever no mesmo cada vez que é executado. Isto pode permitir que usuários locais alterem ou deletem os dados coletados. * CAN-2003-0013 (BugTraq ID 6501): O script .htaccess padrão fornecido pelo checksetup.pl não bloqueia o acesso a backups do arquivo localconfig que pode ser criado por editores como o vi ou o emacs (tipicamente este terá uma extensão .swp ou ~). Isto permite que um usuário final realize o download de uma das cópias de backup e potencialmente obtenha a senha da sua base de dados. Isto não afeta a instalação realizado pelo pacote Debian porque não há o arquivo .htaccess assim como todos os arquivos de dados não estão debaixo do path CGI como é feito na instalação padrão do Bugzilla. Adicionalmente, o arquivo de configuração está em /etc/bugzilla/localconfig e não em um diretório web que possa ser acessado externamente. Na atual distribuição estável (woody) estes problemas foram corrigidos na versão 2.14.2-0woody4. A antiga distribuição estável (potato) não contém um pacote do Bugzilla. Na distribuição instável (sid), este problema será corrigido em breve. Nós recomendamos que você atualize seus pacotes bugzilla. -------------------------------------------------------------------------- Essa é uma tradução do DSA original, enviado para a lista debian-security-announce@lists.debian.org. Caso queira receber os alertas em inglês e minutos depois de sua publicação, inscreva-se na lista acima, através do endereço: http://www.debian.org/MailingLists/subscribe#debian-security-announce --------------------------------------------------------------------------
Attachment:
pgpvbizzecHOr.pgp
Description: PGP signature