[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:35946] [Translate] [SECURITY] [DSA 230-1] New bugzilla packages fix unauthorized data modification



かねこです。
URL 等は元記事を確認ください。

------>8------------>8------------>8------------>8------------>8
- --------------------------------------------------------------------------
Debian Security Advisory DSA 230-1                     security@debian.org
http://www.debian.org/security/                             Martin Schulze
January 16th, 2003                      http://www.debian.org/security/faq
- --------------------------------------------------------------------------

Package        : bugzilla
Vulnerability  : パーミッション設定のミス。バックアップファイル処理の誤り
Problem-Type   : ローカル
Debian-specific: いいえ
CVE Id         : CAN-2003-0012 CAN-2003-0013
BugTraq Id     : 6501 6502

二つの脆弱性が Web ベースのバグトラッキングシステム Bugzilla に、作者た
ちにより発見されました。Common Vulnerabilities and Exposures Project で
は以下の二つの脆弱性を確認しています。

 * CAN-2003-0012 (BugTraq ID 6502): 毎晩走らせる cron ジョブとして提供さ
   れているデータ収集スクリプトが、実行の際にデータ蓄積のためのディレク
   トリを誰からでも書き込み可能に変更しています。このため、ローカルのユ
   ーザから集めたデータの変更や書き込みが可能です。

 * CAN-2003-0013 (BugTraq ID 6501): checksetup.pl 添付の標準の .htaccess
   スクリプトでは、vi や emacs のようなエディタで作成される localconfig
   ファイルの編集中のバックアップ (通常、.swp や ~ がファイル名末尾に付
   けられます) に対するアクセスを防止していません。このため、エンドユー
   ザがバックアップコピーの一つをダウンロードすることができ、データベース
   のパスワードを知ることが出来る可能性があります。

   この問題は Debian の標準インストール状態では起こりません。これは、標
   準の Bugzilla パッケージとは異なり、.htaccess およびその他のデータフ
   ァイルを CGI パス内に置いていないためです。また、設定は
   /etc/bugzilla/localconfig であり、これは web ディレクトリ外になります。

現安定版 (stable) woody では、これはバージョン 2.14.2-0woody4 で修正され
ています。

前安定版 (stable) potato には、Bugzilla パッケージは収録されていません。

不安定版 (unstable) sid の修正は、近日提供の予定です。

直ぐに bugzilla パッケージをアップグレードすることを勧めます。


インストール手順
----------------

wget url
	でファイルを取得できます。
dpkg -i file.deb
        で参照されたファイルをインストールできます。

apt-get パッケージマネージャを使っているなら、以下記載の sources.list
を用いて、次のコマンドを使ってください。

apt-get update
        これは内部データベースを更新します。
apt-get upgrade
        これで修正されたパッケージをインストールします。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。

Debian GNU/Linux 3.0 愛称 woody
- ------------------------------------

  ソースアーカイブ:

    http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4.dsc
      Size/MD5 checksum:      621 a6d54e259f3147bda12d46ab20ea8fec
    http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4.diff.gz
      Size/MD5 checksum:    37720 f0ced567417949a1ce1ffa30b85f0fe8
    http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2.orig.tar.gz
      Size/MD5 checksum:   933766 0c60df541e63e33d92ac9ba0fbb05be3

  Architecture independent components:

    http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.14.2-0woody4_all.deb
      Size/MD5 checksum:   489720 ef08e1d090904b2a5c4ee7922a4dfb82
    http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody4_all.deb


  これらのファイルは将来の版の安定版リリース時そちらに移されます。

- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8
-- 
Seiji Kaneko                              skaneko@xxxxxxxxxxxx
--------------------------- http://plaza25.mbn.or.jp/~efialtes
足跡 = 55A4 898A C765 F20A 1693  7882 579A 3339 D6ED 97E8