Von einer Site-übergreifenden Skripting-Verwundbarkeit für Bugzilla wurde berichtet, einer web-basierten Fehlerdatenbank. Bugzilla prüfte keinerlei Eingaben eines Benutzers für die Verwendung in quips auf Sinnhaftigkeit. Als Ergebnis ist es einem entfernten Angreifer möglich, einen böswilligen Link zu erstellen, der Skript-Code enthält, der im Browser eines befugten Benutzers ausgeführt wird, im Kontext der Website, auf der Bugzilla läuft. Dieses Problem könnte ausgenutzt werden, um cookie-basierende Authentifizierungs-Bescheinigungen von befugten Benutzern der Website zu stehlen, die die verwundbare Software verwendet.
Diese Verwundbarkeit betrifft nur Benutzer, die die 'quips'-Fähigkeit aktiviert haben und die von Version 2.10 aktualisieren, die nicht in Debian existiert. Die Debian-Paket-Geschichte von Bugzilla beginnt mit 1.13 und sprang auf 2.13. Jedoch könnten Benutzer Version 2.10 vor dem Debian-Paket installiert haben.
Für die aktuelle stable Distribution (Woody) wurde dieses Problem in Version 2.14.2-0woody3 behoben.
Die alte stable Distribution (Potato) enthält kein Bugzilla-Paket.
Für die unstable Distribution (Sid) wird dieses Problem bald behoben sein.
Wir empfehlen Ihnen, Ihre bugzilla-Pakete zu aktualisieren.
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.