Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en Bugzilla |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Integridad |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado |
Bugzilla 2.9 < 2.16.10 Bugzilla 2.18.x Bugzilla 2.20.x Bugzilla 2.22.x Bugzilla 2.23.x |
Descripción |
|
Se han descubierto múltiples vulnerabilidades en el sistema de aviso de errores Bugzilla. Las vulnerabilidades son descritas a continuación: - CVE-2005-4534: La vulnerabilidad reside en un error en shadow database feature (syncshadowdb) en Bugzilla versión 2.9 hasta la 2.16.10. Un atacante local podría sobrescribir archivos arbitrarios mediante un ataque de enlace simbólico a través de los archivos temporales. - CVE-2006-5453: Se han descubierto múltiples cross-site scripting (XSS) en Bugzilla versiones anteriores de 2.18.6, 2.20.3, 2.22.1 y 2.23.3. Un atacante local podría introducir código web script o HTML a través de las cabeceras de las páginas usando los tags HTML H1, H2, y H3 en global/header.html.tmpl, mediante los campos de descripción de ciertos objetos en varios scripts, y mediante el parámetro id en showdependencygraph.cgi. |
|
Solución |
|
Actualización de software Debian Debian Linux 3.1 Source http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.16.7-7sarge2.dsc http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.16.7-7sarge2.diff.gz http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.16.7.orig.tar.gz Architecture independent http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.16.7-7sarge2_all.deb http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.16.7-7sarge2_all.deb |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CVE-2005-4534 CVE-2006-5453 |
BID | 16061 |
Recursos adicionales |
|
Debian Security Advisory (DSA 1208-1) http://lists.debian.org/debian-security-announce/debian-security-announce-2006/msg00304.html |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2006-11-13 |