[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:35946] [Translate] [SECURITY] [DSA 230-1] New bugzilla packages fix unauthorized data modification
かねこです。
URL 等は元記事を確認ください。
------>8------------>8------------>8------------>8------------>8
- --------------------------------------------------------------------------
Debian Security Advisory DSA 230-1 security@debian.org
http://www.debian.org/security/ Martin Schulze
January 16th, 2003 http://www.debian.org/security/faq
- --------------------------------------------------------------------------
Package : bugzilla
Vulnerability : パーミッション設定のミス。バックアップファイル処理の誤り
Problem-Type : ローカル
Debian-specific: いいえ
CVE Id : CAN-2003-0012 CAN-2003-0013
BugTraq Id : 6501 6502
二つの脆弱性が Web ベースのバグトラッキングシステム Bugzilla に、作者た
ちにより発見されました。Common Vulnerabilities and Exposures Project で
は以下の二つの脆弱性を確認しています。
* CAN-2003-0012 (BugTraq ID 6502): 毎晩走らせる cron ジョブとして提供さ
れているデータ収集スクリプトが、実行の際にデータ蓄積のためのディレク
トリを誰からでも書き込み可能に変更しています。このため、ローカルのユ
ーザから集めたデータの変更や書き込みが可能です。
* CAN-2003-0013 (BugTraq ID 6501): checksetup.pl 添付の標準の .htaccess
スクリプトでは、vi や emacs のようなエディタで作成される localconfig
ファイルの編集中のバックアップ (通常、.swp や ~ がファイル名末尾に付
けられます) に対するアクセスを防止していません。このため、エンドユー
ザがバックアップコピーの一つをダウンロードすることができ、データベース
のパスワードを知ることが出来る可能性があります。
この問題は Debian の標準インストール状態では起こりません。これは、標
準の Bugzilla パッケージとは異なり、.htaccess およびその他のデータフ
ァイルを CGI パス内に置いていないためです。また、設定は
/etc/bugzilla/localconfig であり、これは web ディレクトリ外になります。
現安定版 (stable) woody では、これはバージョン 2.14.2-0woody4 で修正され
ています。
前安定版 (stable) potato には、Bugzilla パッケージは収録されていません。
不安定版 (unstable) sid の修正は、近日提供の予定です。
直ぐに bugzilla パッケージをアップグレードすることを勧めます。
インストール手順
----------------
wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。
apt-get パッケージマネージャを使っているなら、以下記載の sources.list
を用いて、次のコマンドを使ってください。
apt-get update
これは内部データベースを更新します。
apt-get upgrade
これで修正されたパッケージをインストールします。
本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。
Debian GNU/Linux 3.0 愛称 woody
- ------------------------------------
ソースアーカイブ:
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4.dsc
Size/MD5 checksum: 621 a6d54e259f3147bda12d46ab20ea8fec
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4.diff.gz
Size/MD5 checksum: 37720 f0ced567417949a1ce1ffa30b85f0fe8
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2.orig.tar.gz
Size/MD5 checksum: 933766 0c60df541e63e33d92ac9ba0fbb05be3
Architecture independent components:
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.14.2-0woody4_all.deb
Size/MD5 checksum: 489720 ef08e1d090904b2a5c4ee7922a4dfb82
http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4_all.deb
これらのファイルは将来の版の安定版リリース時そちらに移されます。
- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8
--
Seiji Kaneko skaneko@xxxxxxxxxxxx
--------------------------- http://plaza25.mbn.or.jp/~efialtes
足跡 = 55A4 898A C765 F20A 1693 7882 579A 3339 D6ED 97E8