Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2322-1 bugzilla

Bulletin d'alerte Debian

DSA-2322-1 bugzilla -- Plusieurs vulnérabilités

Date du rapport :

10 octobre 2011

Paquets concernés :

bugzilla

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2010-4567, CVE-2010-4568, CVE-2010-4572, CVE-2011-0046, CVE-2011-0048, CVE-2011-2379, CVE-2011-2380, CVE-2011-2381, CVE-2011-2978, CVE-2011-2979.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Bugzilla, un système de suivi de bogues avec interface web.

• CVE-2010-4572

  En insérant des chaînes particulières dans certaines URL, il était possible d'injecter à la fois des en-têtes et du contenu vers n'importe quel navigateur.

• CVE-2010-4567, CVE-2011-0048

  Bugzilla a un champ URL qui contient plusieurs types d'URL, y compris des URL javascript: et data:. Cependant, les URL javascript: et data: ne sont pas transformées en liens cliquables, pour protéger des attaques par script intersite ou d'autres attaques. Cette protection était contournable en ajoutant des espaces dans l'URL là où Bugzilla ne s'y attendait pas. Ainsi, les liens javascript: et data: étaient toujours montrés comme cliquables aux utilisateurs déconnectés.

• CVE-2010-4568

  Un utilisateur pouvait obtenir un accès non autorisé à n'importe quel compte Bugzilla en très peu de temps (suffisamment peu pour rendre l'attaque très efficace).

• CVE-2011-0046

  Plusieurs pages étaient vulnérables aux attaques de contrefaçon de requête intersite. La plupart de ces problèmes ne sont pas aussi importants que les vulnérabilités de contrefaçon de requête intersite (CRSF) précédentes.

• CVE-2011-2978

  Quand un utilisateur modifie son adresse électronique, Bugzilla fait confiance à un champ modifiable par l'utilisateur pour obtenir l'adresse électronique actuelle utilisée pour envoyer un message de confirmation. Si un attaquant accède à la session d'un autre utilisateur (par exemple si cet utilisateur a laissé une fenêtre de navigateur ouverte dans un lieu public), l'attaquant pourrait modifier ce champ afin de forcer la notification de modification de changement d'adresse à être envoyée vers sa propre adresse. Ainsi, l'utilisateur ne serait pas averti que l'adresse électronique de son compte a été modifiée par un attaquant.

• CVE-2011-2381

  Seulement pour les messages d'option (« flagmails »), les descriptions de pièce jointe avec un retour à la ligne pourraient conduire à l'injection d'en-têtes contrefaits dans les notifications par courrier électroniques si une option de pièce jointe est modifiée.

• CVE-2011-2379

  Bugzilla utilise un hôte différent pour les pièces jointes lors de l'affichage en mode Raw Unified parce qu'Internet Explorer 8 et les versions précédentes, ainsi que Safari jusqu'à la version 5.0.6, font du reniflement de contenu, ce qui pourrait conduire à l'exécution de code malveillant.

• CVE-2011-2380 CVE-2011-2979

  Normalement, un nom de groupe est confidentiel et n'est visible qu'au membres du groupe, et aux autres utilisateurs si le groupe est utilisé dans des bogues. En contrefaisant l'URL lors de la création ou l'édition d'un bogue, il était possible de deviner si un groupe existait ou non, même pour les groupes qui n'étaient pas utilisés dans des bogues, et qui étaient donc censés rester confidentiels.

Pour la distribution oldstable (Lenny), il n'était pas pratique de rétroporter les correctifs pour corriger ces bogues. Nous recommandons très fortement aux utilisateurs de bugzilla sous Lenny de mettre à jour vers la version de la distribution Squeeze.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 3.6.2.0-4.4.

Pour les distributions testing (Wheezy) et unstable (Sid), les paquets bugzilla ont été supprimés.

Nous vous recommandons de mettre à jour vos paquets bugzilla.