[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[Segurança] [DSA 173-1] Novo pacote bugzilla corrige escalação de privilégio

--------------------------------------------------------------------------
Alerta de Segurança Debian DSA 173-1                   security@debian.org
http://www.debian.org/security/                             Martin Schulze
09 de Outubro de 2002                   http://www.debian.org/security/faq
--------------------------------------------------------------------------

Pacote        		: bugzilla
Vulnerabilidade  	: escalação de privilégio
Tipo de Problema   	: remoto
Especifico ao Debian	: não

Os desenvolvedores do Bugzilla, um sistema de controle de bugs baseado na
web, descobriram um problema na manipulação de mais de 47 grupos. Quando
um novo produto é adicionado a uma instalação com 47 grupos ou mais e
"usebuggroups" está habilitado, o novo grupo será atribuído a um conjunto
de grupo de bit usando o Perl math que não é exato além de 2^48. Isso faz
com que o novo grupo seja definido com um "bit" que tem muitos conjuntos
de bits. Como os usuários estão dando acesso ao novo grupo,aqueles
usuários também ganharam acesso aos falsos privilégios do grupo. Além
disso, bits de grupos não estão sendo reutilizados quando grupos são
removidos. 

Esse problema foi corrigido na versão 2.14.2-0woody2 para a atual
distribuição estável (woody) e será o mais rápido possível corrigido
na distribuição instável(sid).  A antiga distribuição estável (potato)
não contém os pacotes do bugzilla.

Nós recomendamos que você atualize seu pacote do bugzilla.

--------------------------------------------------------------------------
Essa é uma tradução do DSA original, enviado para a lista 
debian-security-announce@lists.debian.org. Caso queira receber os 
alertas em inglês e minutos depois de sua publicação, inscreva-se na 
lista acima, através do endereço:
http://www.debian.org/MailingLists/subscribe#debian-security-announce
--------------------------------------------------------------------------

        Henrique Pedroni Neto - kirkham <henrique@ital.org.br>
 *******************************************************************
   .''`.   Debian Weekly News: <http://www.debian.org/News/weekly>
  : :'  :  Debian BR.........: <http://debian-br.cipsga.org.br>   
  `. `'`        Equipe de Imprensa e Traduções do Debian-BR
    `-                 O que você quer saber hoje?
 *******************************************************************
     Se você tiver notícias interessantes para serem publicadas,
     envie-nas para <debian-br-imprensa@listas.cipsga.org.br>.

Attachment: pgpiEstXfdQq7.pgp
Description: PGP signature

Reply to: