Было сообщено об уязвимости, позволяющей писать скрипты, перекрёстные между сайтами, в Bugzilla, веб-ориентированной системе отслеживания ошибок. Bugzilla некорректно чистит входной текст, посылаемый пользователями для использования в quips. В результате удалённый нападающий может создать ссылку, содержащую код скрипта, который будет выполнен в браузере законного пользователя, в контексте web-сайта, на котором работает Bugzilla. Это может быть использовано для кражи удостоверений аутентификации на основе cookie, принадлежащих законным пользователям web-сайта, на котором запущено уязвимое ПО.
Эта уязвимость касается только пользователей со включённым свойством 'quips' и обновившим Bugzilla с версии 2.10, не существующей в Debian. История пакетов Debian для Bugzilla начинается с версии 1.13 и переходит сразу к 2.13. Тем не менее, у пользователей могла быть установлена версия 2.10 до установки пакета Debian.
В текущем стабильном дистрибутиве (woody) эта проблема исправлена в версии 2.14.2-0woody3.
Старый стабильный дистрибутив (potato) не содержит пакета Bugzilla.
В нестабильном дистрибутиве (sid) эта проблема будет исправлена в ближайшее время.
Мы рекомендуем вам обновить ваши пакеты bugzilla.
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.