Debian セキュリティ勧告

DSA-2322-1 bugzilla -- 複数の脆弱性

報告日時:

2011-10-10

影響を受けるパッケージ:

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2010-4567, CVE-2010-4568, CVE-2010-4572, CVE-2011-0046, CVE-2011-0048, CVE-2011-2379, CVE-2011-2380, CVE-2011-2381, CVE-2011-2978, CVE-2011-2979.

詳細:

複数の欠陥が、ウェブベースのバグトラッキングシステム Bugzilla に発見されました。

CVE-2010-4572
特定の URL に細工した文字列を挿入することで、任意のブラウザに対してヘッダと内容に文字列を挿入可能です。
CVE-2010-4567, CVE-2011-0048
Bugzilla には、様々な種類の URL を格納可能な URL フィールドがあります。このフィールドには、javascript: や data: URL が格納可能です。一方、クロスサイトスクリプティング攻撃などを防ぐため、 Bugzilla ではクリッカブルリンクに javascript: や data: URL が含まれないようにしていますが、Bugzilla の予想していなかった箇所に空白文字を挿入することでこの保護が迂回可能でした。また、ログアウトしたユーザからは javascript: や data: URL が常にクリッカブルになっていました。
CVE-2010-4568
非常に短時間ではありますが、十分に攻撃可能な時間程度に、ユーザが認証なしで任意の Bugzilla アカウントの権限を取得することが可能になっていました。
CVE-2011-0046
様々なページにクロスサイトリクエストフォージェリ攻撃を許す欠陥があります。これらの問題のほとんどは以前の CSRF 欠陥ほど深刻なものではありません。
CVE-2011-2978
ユーザが自分のメールアドレスを変更した場合に、bugzilla はユーザの変更可能フィールドから取得した新しい e-mail アドレスを信用し、そこに確認メッセージを送付します。もし攻撃者が他のユーザのセッションに対するアクセスが可能な場合 (例えば、公共の場所でブラウザウィンドウを開いたままにしていた場合など)、このフィールドを書き換えて電子メールの変更確認通知を自分のアドレスに送付させることが可能です。これは、攻撃者によって自分のアカウントの電子メールアドレスが書き換えられたことの通知が行われないと言うことを意味します。
CVE-2011-2381
flagmails のみに対して、添付ファイル記述に改行文字が含まれていた場合、添付フラグ編集時に通知メールに細工したヘッダを挿入可能でした。
CVE-2011-2379
Bugzilla は、クロスサイトスクリプティング攻撃を防ぐため、添付ファイルを生のフォーマットで閲覧する際に別ホストを用いていました。この別ホストは、Raw Unified モードでパッチを見る際にも使われていたため、Internet Explorer 8 およびそれ以前、Safari 5.0.6 およびそれ以前でのコンテンツ内容検出のために、悪意を持ったコードの実行に悪用される可能性があります。
CVE-2011-2380, CVE-2011-2979
グループ名は秘密情報であり、通常はグループのメンバからのみ、またはグループがバグ報告に使われている場合のみ見ることが可能です。バグ用として使われておらず秘密の筈のグループに対しても、バグを作成および編集するための細工した URL を作成することにより、グループが存在するかどうかを調査可能でした。

旧安定版ディストリビューション (lenny) では、これらのバグに関するパッチをバックポートすることは現実的ではないと判断されました。lenny での bugzilla 利用者には squeeze ディストリビューションへのアップグレードを強く推奨します。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題はバージョン 3.6.2.0-4.4 で修正されています。

テスト版 (testing) および不安定版 (unstable) ディストリビューションでは、bugzilla パッケージは削除されています。

直ぐに bugzilla パッケージをアップグレードすることを勧めます。