path: root/spanish/security/2003/dsa-230.wml

#use wml::debian::translation-check translation="307b4102df78ee50d5fe2062ecd3e5f5e086e52e"
<define-tag description>permisos inseguros, archivos de respaldo adulterados</define-tag>
<define-tag moreinfo>
<p>Se han descubierto dos vulnerabilidades en Bugzilla, un sistema de
seguimiento de fallos basado en web.  El proyecto CVE (Vulnerabilidades y
Exposiciones Comunes) identifica las siguientes vulnerabilidades:</p>

<dl>
 <dt>CAN-2003-0012 (ID de BugTraq 6502)</dt>
 <dd>
  <p>
   El script de recolección de datos que se proporcionaba para ser lanzado
   cada noche cambiaba cada vez que se lanzaba los permisos del directorio
   de datos para que todo el mundo lo pudiera leer.  Esto hacía posible
   que los usuarios locales cambiaran o borraran los datos recogidos.
  </p>
 </dd>

 <dt>CAN-2003-0013 (ID de BugTraq 6501)</dt>
 <dd>
  <p>
   Los scripts .htaccess predeterminados proporcionados por checksetup.pl
   no bloqueaban el acceso a las copias de seguridad del archivo
   localconfig que se hubieran creado con editores como vi o emacs
   (típicamente, estos tendrían como sufijo .swp o ~).  Esto permitía a un
   usuario final descargar una de las copias de seguridad y obtener
   potencialmente las contraseñas de su base de datos.
  </p>

  <p>
   Esto no afecta a la instalación de Debian porque no hay .htaccess y
   ningún archivo de datos está bajo la ruta del CGI, ya que están en el
   paquete estándar de Bugzilla.  Además, la configuración está en
   /etc/bugzilla/localconfig y, por tanto, fuera del directorio web.</p>
 </dd>
</dl>

<p>Para la distribución estable actual (woody), estos problemas se han
corregido en la versión 2.14.2-0woody4.</p>

<p>La distribución estable anterior (potato) no tenía el paquete
Bugzilla.</p>

<p>Para la distribución inestable (sid), este problema se corregirá
pronto.</p>

<p>Le recomendamos que actualice los paquetes de bugzilla.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-230.data"