07.05.2008 10:13
Lücken im Fehlerverwaltungssystem Bugzilla abgedichtet
Die Entwickler des quelloffenen und weit verbreiteten Fehlerverwaltungssystems Bugzilla haben in aktualisierten Softwareversionen mehrere Schwachstellen behoben. In einer Sicherheitsmeldung berichten sie von drei Sicherheitslücken, durch die Angreifer Cross-Site-Scripting-Angriffe ausführen, ohne die eigentlich nötige Berechtigung den Status eines Fehlereintrags ändern oder den Absender eines Fehlerberichts fälschen konnten.
Die Fehler betreffen Bugzilla vor den Versionen 2.20.6, 2.22.4, 3.0.4 und 3.1.4. Auf der Projektseite liegen die Quellcode-Pakete sowie Patches für die einzelnen Versionszweige zum Download bereit. Die Linux-Distributoren dürften in Kürze ebenfalls aktualisierte Pakete verteilen, die Administratoren eines Bugzilla-Systems zügig einspielen sollten.
Siehe dazu auch:
- 3.0.3, 3.1.3, 2.22.3, and 2.20.5 Security Advisory, Sicherheitsmeldung der Bugzilla-Entwickler
- Download der aktualisierten Bugzilla-Pakete
(dmk)
