[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[Segurança] [DSA 218-1] Novo pacote bugzilla corrige problema de cross site scripting

--------------------------------------------------------------------------
Alerta de Segurança Debian DSA 218-1                   security@debian.org
http://www.debian.org/security/                             Martin Schulze
30 de Dezembro de 2002                  http://www.debian.org/security/faq
--------------------------------------------------------------------------

Pacote         		: bugzilla
Vulnerabilidade 	: cross site scripting
Tipo de Problema    	: remoto
Específico ao Debian	: não
Id do BugTraq  		: 6257

Uma vulnerabilidade de cross site scripting foi relatada para o Bugzilla, 
um sistema de registro de bugs baseado na web. O Bugzilla não limpa 
apropriadamente qualquer entrada submetida por usuários. Como resultado, 
é possível para um atacante remoto criar um link malicioso contendo um
código script que será executado no navegador de um usuário legítimo, no
contexto de um site rodando o Bugzilla. Esse bug pode ser explorado
para roubar credenciais de autenticação baseadas em cookies de usuários
legítimos de um site da web rodando o software vulnerável.

Essa vulnerabilidade somente afeta que tem a característica 'quips' 
habilitada e quem atualizou da versão 2.10 que não existe dentro do
Debian. A história do pacote Debian do Bugzilla inicia com a 1.13 e pula
para a 2.13. Entretanto, usuários podem ter instalado a versão 2.10 no 
lugar de instalar o pacote Debian.

Para a atual distribuição estável (woody) esse problema foi corrigido na 
versão 2.14.2-0woody3.

A antiga distribuição (potato) não contém o pacote Bugzilla.

Para a atual distribuição instável (sid) esse problema será corrigido logo.

Nós recomendamos que atualize seu pacote do Bugzilla.

--------------------------------------------------------------------------
Essa é uma tradução do DSA original, enviado para a lista 
debian-security-announce@lists.debian.org. Caso queira receber os 
alertas em inglês e minutos depois de sua publicação, inscreva-se na 
lista acima, através do endereço:
http://www.debian.org/MailingLists/subscribe#debian-security-announce
--------------------------------------------------------------------------

        Henrique Pedroni Neto - kirkham <henrique@ital.org.br>
 *******************************************************************
   .''`.   Debian Weekly News: <http://www.debian.org/News/weekly>
  : :'  :  Debian BR.........: <http://debian-br.cipsga.org.br>   
  `. `'`        Equipe de Imprensa e Traduções do Debian-BR
    `-                 O que você quer saber hoje?
 *******************************************************************
     Se você tiver notícias interessantes para serem publicadas,
     envie-nas para <debian-br-imprensa@listas.cipsga.org.br>.

Attachment: pgpIH_UEjTjTD.pgp
Description: PGP signature

Reply to: