—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2011-2379 – Cross-site Scripting Schwachstelle in Bugzilla
In Bugzilla vor den Versionen 3.4.12, 3.6.6, 4.0.2 und 4.1.3 koennen
Patch-Dateien im Rohformat mit dem Content-Type “text/plain” auch vom
der Hauptdomain der Installation ausgeliefert werden. Dies hat zur
Folge, dass einige Browser, wie z.B. der Internet Explorer 6 bis Version
8 und Safari vor Version 5.0.6, versuchen, den Patch zu parsen und
dementsprechend zu rendern. Ein entfernter Angreifer kann dies
ausnutzen, um mithilfe einer praeparierten Patch-Datei beliebigen HTML-
und Skriptcode im Browser von anderen Benutzern zur Ausfuehrung zu
bringen, falls dieser hierfuer anfaellig ist.
CVE-2011-2978 – Schwachstelle in Bugzilla
In Bugzilla vor den Versionen 3.4.12, 3.6.6, 4.0.2 und 4.1.3 wird bei
einer Aenderung der E-Mail Adresse eines Benutzers nur eine Bestaetigung
zur neuen E-Mail Adresse gesendet. Ein entfernter Angreifer kann dies
ausnutzen, falls er Zugriff auf eine Sitzung eines anderen Benutzers
hat, um unbemerkt die E-Mail Adresse zu aendern.
CVE-2011-2977 – Schwachstelle in Bugzilla
In Bugzilla vor den Versionen 3.6.6, 4.0.2 und 4.1.3 auf Microsoft
Windows werden temporaere Dateien von hochgeladenen Anhaengen nicht
geloescht. Somit kann ein Angreifer mit Shellzugang auf das System
Anhaenge lesen, auch wenn entsprechende Berechtigungen in Bugzilla
fehlen.
CVE-2011-2380 / CVE-2011-2979 – Schwachstelle in Bugzilla
In Bugzilla Version 2.23.3 bis 2.22.7, 3.0.x bis 3.3.x, 3.4.x bis
3.4.12, 3.5.x, 3.6.x bis 3.6.6, 3.7.x wird beim Erstellen eines neuen
Bugs der Parameter bit-X=1 (wobei X fuer die Gruppen-ID steht) je nach
Existenz einer solchen Gruppe unterschiedlich behandelt. In Bugzilla
Version 4.0.x bis 4.0.2 und 4.1.x vor 4.1.3 kann beim Editieren eines
bestehenden Bugs der Parameter “groups” mit dem Gruppenname belegt
werden, wobei auch hier ein unterschiedliches Verhalten, ob eine Gruppe
vorhanden ist, auftritt. Ein entfernter Angreifer kann dies ausnutzen,
um durch Ausprobieren die Namen und teilweise die IDs von Gruppen
herauszufinden.
CVE-2011-2381 – Schwachstelle in Bugzilla
In Bugzilla vor den Versionen 3.4.12, 3.6.6, 4.0.2 und 4.1.3 werden die
Beschreibungen von Anhaengen fuer Flagmails nicht ausreichend bereinigt.
Ein entfernter Angreifer kann dies ausnutzen, um mithilfe des
Newline-Charakters in der Beschreibung eines Anhangs, beliebige Header
in eine vom System zu versendende Flagmail einzufuegen.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket bugzilla
Fedora 14
Fedora 15
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Matthias Braeck
– —
Matthias Braeck (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2011-10413
2011-08-05 23:28:42
– ——————————————————————————–
Name : bugzilla
Product : Fedora 14
Version : 3.6.6
Release : 1.fc14
URL : http://www.bugzilla.org/
Summary : Bug tracking system
Description :
Bugzilla is a popular bug tracking system used by multiple open source projects
It requires a database engine installed – either MySQL, PostgreSQL or Oracle.
Without one of these database engines (local or remote), Bugzilla will not work
– – see the Release Notes for details.
– ——————————————————————————–
Update Information:
The Bugzilla developers have discovered a number of security bugs in Bugzilla. These are CVE-2011-2379, CVE-2011-2380, CVE-2011-2979, CVE-2011-2381, CVE-2011-2978, CVE-2011-2977.
This release fixes these bugs.
See http://www.bugzilla.org/security/3.4.11/ for all known details.
– ——————————————————————————–
ChangeLog:
* Fri Aug 5 2011 Emmanuel Seyman
– – Update to 3.6.6
– – Move graphs to /var/lib/bugzilla/graphs.
* Sun May 1 2011 Emmanuel Seyman
– – Update to 3.6.5
– – Patch the installation procedure to recommend yum
* Mon Mar 7 2011 Emmanuel Seyman
– – Put contrib/recode.pl in the main package so that it no longer depends on
python and ruby
– – Remove the contents of the lib/ directory, not the directory itself.
– – Remove unused patch
* Tue Jan 25 2011 Emmanuel Seyman
– – Update to 3.6.4
* Wed Nov 3 2010 Emmanuel Seyman
– – Update to 3.6.3 (#649406)
– – Fix webdot alias in /etc/httpd/conf.d/bugzilla (#630255)
– – Do not apply graphs patch (upstreamed)
– ——————————————————————————–
References:
[ 1 ] Bug #710142 – SELinux is preventing /usr/bin/perl from ‘write’ accesses on the directory /usr/share/bugzilla/graphs.
https://bugzilla.redhat.com/show_bug.cgi?id=710142
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update bugzilla’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.16 (GNU/Linux)
iQEcBAEBAgAGBQJOUiiuAAoJEJtyb8U7iGZB/4EIAJN65MeuV/HXDhiRHkgTZfaB
dGX1/cBRsb4klCn048/rSFOa3s0JT3jHM8rg7M+9okBETo9TepFsRs3pr3dmVRjJ
2J5xMO52IQUZc1xeX+i1ywwgIULgwjSUh2IL7sDJnUGwUF5mZC693rM9BskZNe0K
frl4RhSHwZv5DLgdFcW/fpiMsIJRbGZtgwytiiV77BOQsfBBH3Bsx7DUcf8xSTNg
WmRMx7VPgBqDqZ9mLwQczeuqI387YJrx5V7aBwsqohMtgMPImQU0zAcMLX8/254H
Hfzbyg7j0ZqNU8rF1xtjh1rS5VTHCMQ9i6rBCoYs/vwubfdM0WiF/03Vm+EOVTY=
=ChP7
—–END PGP SIGNATURE—–
