Bugzillasta, www-pohjaisesta vianjäljitysjärjestelmästä, on löytynyt ristiinlinkittävän komentosarjan mahdollistava haavoittuvuus. Bugzilla ei siisti kunnollisesti quips:issa käytettävää, käyttäjien lähettämää syötettä. Tästä seuraa, että etähyökkääjän on mahdollista luoda Bugzillaa ajavan verkkosivuston sisältöön pahantahtoinen linkki jonka sisältämä skripti suoritetaan oikeutetun käyttäjän selaimessa. Tätä haavoittuvuutta hyväksikäyttämällä on mahdollista varastaa evästepohjaisen tunnistuksen valtuutus altista ohjelmistoa käyttävän www-sivuston oikeutetuilta käyttäjiltä.
Tämä haavoittuvuus koskee vain käyttäjiä jotka käyttävät "quips"-ominaisuutta ja jotka päivittivät versiosta 2.10, mikä ei kuulunut Debian-jakeluun. Debianin bugzilla-paketin historia alkaa versiosta 1.13 ja hyppää versionumeroon 2.13. Käyttäjät ovat kuitenkin saattaneet asentaa version 2.10 ennen Debian-paketin ilmestymistä.
Ongelma on korjattu nykyisen vakaan jakelun (woody) versiossa 2.14.2-0woody3.
Aiempi vakaa jakelu (potato) ei sisällä Bugzilla-pakettia.
Korjaukset epävakaalle jakelulle (sid) ilmestyvät piakkoin.
Suosittelemme päivittämään bugzilla-paketit.
Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.