blob: 2537d3c0519e4ffe5c6fab0dcd7cc923adc24ba8 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
|
<define-tag description>パーミッション設定のミス。バックアップファイル処理の誤り</define-tag>
<define-tag moreinfo>
<p>二つの脆弱性が Web ベースのバグトラッキングシステム Bugzilla に、
作者たちにより発見されました。Common Vulnerabilities and Exposures Project
では以下の二つの脆弱性を確認しています。</p>
<dl>
<dt>CAN-2003-0012 (BugTraq ID 6502)</dt>
<dd>
<p>
毎晩走らせる cron ジョブとして提供されているデータ収集スクリプトが、
実行の際にデータ蓄積のためのディレクトリを誰からでも書き込み可能に
変更しています。このため、ローカルのユーザから集めたデータの変更や
削除が可能です。
</p>
</dd>
<dt>CAN-2003-0013 (BugTraq ID 6501)</dt>
<dd>
<p>
checksetup.pl 添付の標準の .htaccess
スクリプトでは、vi や emacs のようなエディタで作成される localconfig
ファイルの編集中のバックアップ (通常、.swp や ~
がファイル名末尾に付けられます) に対するアクセスを防止していません。
このため、
エンドユーザがバックアップコピーの一つをダウンロードすることができ、
データベースのパスワードを知ることができる可能性があります。
</p>
<p>
この問題は Debian の標準インストール状態では起こりません。これは、標準の
Bugzilla パッケージとは異なり、.htaccess およびその他のデータファイルを
CGI パス内に置いていないためです。また、設定は
/etc/bugzilla/localconfig であり、これは web ディレクトリ外になります。
</p>
</dd>
</dl>
<p>現安定版 (stable) (woody)e では、これはバージョン 2.14.2-0woody4
で修正されています。</p>
<p>旧安定版 (potato) には、Bugzilla パッケージは収録されていません。</p>
<p>不安定版 (unstable) (sid) の修正は、近日提供の予定です。</p>
<p>すぐに bugzilla パッケージをアップグレードすることを勧めます。</p>
</define-tag>
#use wml::debian::translation-check translation="307b4102df78ee50d5fe2062ecd3e5f5e086e52e"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-230.data"
# $Id$
|