Avis du CERT-FR

Objet: Vulnérabilité sur Bugzilla

Gestion du document

Référence	CERTA-2005-AVI-507
Titre	Vulnérabilité sur Bugzilla
Date de la première version	28 décembre 2005
Date de la dernière version	28 décembre 2005
Source(s)	Bulletin de sécurité Bugzilla
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Élévation de privilèges.

Systèmes affectés

Bugzilla 2.x.

Résumé

Une vulnérabilité présente dans Bugzilla peut être exploitée par un utilisateur mal intentionné pour élever ses privilèges sur le système hébergeant l'application vulnérable.

Description

Une vulnérabilité, due à la création du fichier temporaire tmpsyncshadow dans le répertoire temporaire, peut être utilisée par un utilisateur mal intentionné, via une attaque par lien symbolique, pour élever ses privilèges que le système.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité :

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=329387

Référence CVE CVE-2005-4534 :

https://www.cve.org/CVERecord?id=CVE-2005-4534

Gestion détaillée du document

le 28 décembre 2005: version initiale.