Menü
Alert!

Bugzilla dichtet Sicherheitslecks ab

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 9 Beiträge
Von

Die Entwickler haben neue Versionen der quelloffenen Software Bugzilla herausgegeben, einem weit verbreiteten System zur Verwaltung von Fehlerberichten und deren Bearbeitungsstatus. In einer Sicherheitsmeldung erläutern sie, welche Schwachstellen sie in den neuen Fassungen behoben haben.

Die Bugzilla-Software überprüft und wandelt Argumente nicht korrekt um, die beim Aufruf von Email::Send::Sendmail() an die Mail-Software übergeben werden. Dadurch können Angreifer Shell-Befehle einschleusen. Eine fehlerhafte Umwandlung des Übergabeparameters buildid beim Anlegen von Fehlereinträgen mit dem so genannten Guided Form ermöglicht Cross-Site-Scripting-Angriffe. Außerdem kann jeder durch den Bugzilla-WebService (XML-RPC) Zeitpläne von Fehlereinträgen wie geschätzte Fertigstellungszeitpunkte einsehen, auch wenn der Anwender eigentlich keine Berechtigung dazu besitzt.

Die Fehler betreffen Versionen vor den aktuellen Fassungen 2.20.5, 2.22.3, 3.01 und der Entwicklerversion 3.1.1, in denen die Programmierer die Probleme ausgebügelt haben. Das Bugzilla-Team empfiehlt Nutzern der Software, umgehend auf die neuen Versionen zu aktualisieren.

Siehe dazu auch:

(dmk)