En sårbarhed i forbindelse med udførelse af scripts på tværs af websteder er rapporteret i Bugzilla, et webbaseret fejlrapporteringssystem. Bugzilla kontrollerer ikke korrekt for gyldigheden af data som indsendes af brugerne til anvendelse i quips. Som følge deraf, er det muligt for en fjernangriber at fremstille et ondsindet link indeholdende scriptkode, som udføres i en legitim brugers browser, indenfor det websted som anvender Bugzilla. Dette problem kan udnyttes til at stjæle cookie-baseret autentifikationsoplysninger fra legitime brugere af det websted som anvender det sårbare program.
Denne sårbarhed påvirker kun brugere som har slået funktionen "quips" til og som har opgraderet fra version 2.10, som ikke findes i Debian. Debians Bugzilla-pakkehistorie begynder med version 1.13 og hopper til 2.13. Dog kan brugere have installeret version 2.10 før der kom en Debian-pakke.
I den aktuelle stabile distribution (woody) er dette problem rettet i version 2.14.2-0woody3.
Den gamle distribution (potato) indeholder ikke en Bugzilla-pakke.
Problemet vil snart blive rettet i den ustabile distribution (sid).
Vi anbefaler at du opgraderer din bugzilla-pakke.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.