Miembros de
Boletines de Vulnerabilidades |
Ejecución de comandos arbitrarios en Bugzilla |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | GNU/Linux |
| Software afectado |
Bugzilla < 3.0.8 Bugzilla 3.1.x < 3.2.4 Bugzilla 3.3.1 < 3.4.1 |
Descripción |
|
|
Se ha descubierto una vulnerabilidad de inyección SQL en Bugzilla. La vulnerabilidad reside en un error en la función Bug.create WebService. Un atacante remoto podría ejecutar comandos SQL arbitrarios mediante métodos no especificados. |
|
Solución |
|
|
Actualización de software Debian (DSA-1913-1) Debian Linux 5.0 Source http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_3.0.4.1-2+lenny2.dsc http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_3.0.4.1-2+lenny2.diff.gz http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_3.0.4.1.orig.tar.gz Arquitectura independiente: http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla3_3.0.4.1-2+lenny2_all.deb http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla3-doc_3.0.4.1-2+lenny2_all.deb |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CVE-2009-3165 |
| BID | 36373 |
Recursos adicionales |
|
|
Debian Security Advisory (DSA-1913-1) http://lists.debian.org/debian-security-announce/2009/msg00235.html |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2009-10-19 |