Debians sikkerhedsbulletin
DSA-173-1 bugzilla -- rettighedsforøgelse
- Rapporteret den:
- 9. okt 2002
- Berørte pakker:
- bugzilla
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2002-1196.
- Yderligere oplysninger:
-
Udviklerne af Bugzilla, et webbaseret system til fejlhåndtering, har opdaget et problem i håndtering af mere end 47 grupper. Når et nyt produkt føjes til en installation med mere end 47 grupper og "usebuggroups" er slået til, vil den nye gruppe få tildelt en groupset-bit ved hjælp af Perl-matematik som ikke er helt nøjagtigt over 248. Dette medfører at den nye gruppe defineres med en "bit" hvor flere bits er sat. Når brugere får adgang til den nye gruppe, får de også adgang til tilfældige grupper med lavere grupperettigheder. Desuden bliver gruppebits ikke altid genbrugt, når grupper slettes.
Dette problem er rettet i version 2.14.2-0woody2 i den aktuelle stabile distribution (woody) og vil snart være rettet i den ustabile distribution (sid). Den gamle stabile distribution (potato) indeholder ikke pakken bugzilla.
Vi anbefaler at du opgraderer din bugzilla-pakke.
- Rettet i:
-
Debian GNU/Linux 3.0 (woody)
- Kildekode:
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2.dsc
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2.diff.gz
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla-doc_2.14.2-0woody2_all.deb
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2_all.deb
- http://security.debian.org/pool/updates/main/b/bugzilla/bugzilla_2.14.2-0woody2_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.