Uma vulnerabilidade cross site scripting foi relatada para o Bugzilla, um sistema de registro de bugs baseado na web. O Bugzilla não limpa apropriadamente qualquer entrada submetida por usuários para uso inadequado. Como resultado, é possível para um atacante remoto criar um link malicioso contendo um código script que será executado no navegador de um usuário legítimo, no contexto de um site rodando o Bugzilla. Esse bug pode ser explorado para roubar credenciais de autenticação baseadas em cookies de usuários legítimos de um site da web rodando o software vulnerável.
Essa vulnerabilidade somente afeta que tem a característica 'quips' habilitada e quem atualizou da versão 2.10 que não existe dentro do Debian. A história do pacote Debian do Bugzilla inicia com a 1.13 e pula para a 2.13. Entretanto, usuários podem ter instalado a versão 2.10 no lugar de instalar o pacote Debian.
Para a atual distribuição estável (woody) esse problema foi corrigido na versão 2.14.2-0woody3.
A antiga distribuição (potato) não contém o pacote Bugzilla.
Para a atual distribuição instável (sid) esse problema será corrigido logo.
Nós recomendamos que atualize seu pacote do Bugzilla.
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.