blob: d1a14545cc77d86664750c52cf7bbe6604146abd (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
|
<define-tag description>Unsichere Berechtigungen, falsche Backup-Dateien</define-tag>
<define-tag moreinfo>
<p>Zwei Verwundbarkeiten wurden von seinen Autoren in Bugzilla entdeckt, einer
web-basierten Fehlerdatenbank. Das Common Vulnerabilities and Exposures
Project identifiziert die folgenden Verwundbarkeiten:</p>
<dl>
<dt>CAN-2003-0012 (BugTraq ID 6502)</dt>
<dd><p>
Das zur Verfügung gestellte Datensammlungs-Skript, das als nächtlicher
Cron-Job gedacht ist, ändert jedes Mal die Zugriffsrechte des
data/mining-Verzeichnisses auf schreibbar für alle, wenn es ausgeführt
wird. Dies würde es lokalen Benutzern erlauben, gesammelte Daten zu
verändern oder zu löschen.
</p></dd>
<dt>CAN-2003-0013 (BugTraq ID 6501)</dt>
<dd>
<p>
Die ursprünglichen .htaccess-Skripte, die von checksetup.pl zur Verfügung
gestellt werden, beschränken den Zugriff auf die Backups der
localconfig-Datei nicht, die von Editorn wie vi oder emacs erstellt
werden (typischerweise haben diese .swp oder ~ Endungen). Dies erlaubt
es einem End-Benutzer, eine der Backup-Kopien herunterzuladen und
möglicherweise so an ihr Datenbank-Passwort zu kommen.
</p>
<p>
Dies betrifft nicht die Debian-Installation, da es keine .htaccess gibt,
da sich alle Daten-Dateien nicht wie im ursprünglichen Bugzilla-Paket im
CGI-Pfad befinden. Zusätzlich befindet sich die Konfiguration in
/etc/bugzilla/localconfig und ist daher außerhalb des
Web-Verzeichnisses.
</p>
</dd>
</dl>
<p>Für die aktuelle stable Distribution (Woody) wurden diese Problem in
Version 2.14.2-0woody4 behoben.</p>
<p>Die alte stable Distribution (Potato) enthält kein bugzilla-Paket.</p>
<p>Für die unstable Distribution (Sid) wird dieses Problem bald behoben.</p>
<p>Wir empfehlen Ihnen, Ihre bugzilla-Pakete zu aktualisieren.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-230.data"
#use wml::debian::translation-check translation="307b4102df78ee50d5fe2062ecd3e5f5e086e52e"
# $Id$
|
