-------------------------------------------------------------------------- Alerta de Segurança Debian DSA 173-1 security@debian.org http://www.debian.org/security/ Martin Schulze 09 de Outubro de 2002 http://www.debian.org/security/faq -------------------------------------------------------------------------- Pacote : bugzilla Vulnerabilidade : escalação de privilégio Tipo de Problema : remoto Especifico ao Debian : não Os desenvolvedores do Bugzilla, um sistema de controle de bugs baseado na web, descobriram um problema na manipulação de mais de 47 grupos. Quando um novo produto é adicionado a uma instalação com 47 grupos ou mais e "usebuggroups" está habilitado, o novo grupo será atribuído a um conjunto de grupo de bit usando o Perl math que não é exato além de 2^48. Isso faz com que o novo grupo seja definido com um "bit" que tem muitos conjuntos de bits. Como os usuários estão dando acesso ao novo grupo,aqueles usuários também ganharam acesso aos falsos privilégios do grupo. Além disso, bits de grupos não estão sendo reutilizados quando grupos são removidos. Esse problema foi corrigido na versão 2.14.2-0woody2 para a atual distribuição estável (woody) e será o mais rápido possível corrigido na distribuição instável(sid). A antiga distribuição estável (potato) não contém os pacotes do bugzilla. Nós recomendamos que você atualize seu pacote do bugzilla. -------------------------------------------------------------------------- Essa é uma tradução do DSA original, enviado para a lista debian-security-announce@lists.debian.org. Caso queira receber os alertas em inglês e minutos depois de sua publicação, inscreva-se na lista acima, através do endereço: http://www.debian.org/MailingLists/subscribe#debian-security-announce -------------------------------------------------------------------------- Henrique Pedroni Neto - kirkham <henrique@ital.org.br> ******************************************************************* .''`. Debian Weekly News: <http://www.debian.org/News/weekly> : :' : Debian BR.........: <http://debian-br.cipsga.org.br> `. `'` Equipe de Imprensa e Traduções do Debian-BR `- O que você quer saber hoje? ******************************************************************* Se você tiver notícias interessantes para serem publicadas, envie-nas para <debian-br-imprensa@listas.cipsga.org.br>.
Attachment:
pgpiEstXfdQq7.pgp
Description: PGP signature