Μία σοβαρή ευπάθεια εντοπίστηκε στην εφαρμογή Bugzilla, η οποία χρησιμοποιείται για τον εντοπισμό bugs από μεγάλους οργανισμούς και ιδιώτες σε όλο τον κόσμο.
Η ευπάθεια είναι αρκετά σοβαρή, καθώς επιτρέπει στο χρήστη…
να δημιουργήσει νέο λογαριασμό, χρησιμοποιώντας ένα mail της επιλογής του, χωρίς να απαιτείται επικύρωση. Ένα τέτοιο θέμα ασφάλειας, σημαίνει ότι κάποιος χρήστης μπορεί να δει bugs σε λογισμικό τρίτου που “παρακολουθείται” από το Bugzilla.
Η Check Point Software Technologies ήταν η εταιρία που εντόπισε τη ευπάθεια και την ανέφερε στην τεχνική ομάδα του Bugzilla: “Το bug επιτρέπει σε άγνωστους χρήστες να αποκτήσουν δικαιώματα διαχειριστή” και “αποκτώντας διακαιώματα διαχειριστή, οι επιτιθέμενοι μπορούν στη συνέχεια να δουν και να επεξεργαστούν τις ιδιωτικές και απόρρητες λεπτομέρειες bug”, αναφέρει η εταιρία.
Λόγω της κρίσιμης φύσης της ευπάθειας, το Ίδρυμα Mozilla έσπευσε να κυκλοφορήσει ένα patch και προειδοποίησε τους εξέχοντες οργανισμούς σχετικά με τη διαθεσιμότητά του.
Οι νέες εκδόσεις Bugzilla είναι διαθέσιμες για downolad: 4.0.15, 4.2.11, 4.4.6, και 4.5.6. Το συμβουλευτικό δελτίο ασφαλείας που δημοσιεύθηκε αναφέρει: “το “πραγματικό όνομα στο πεδίο “login_name” δεν φιλτραριζόταν σωστά κατά τη δημιουργία του λογαριασμού”.
Η ομάδα του Bugzilla ενημερώθηκε για το πρόβλημα στις 29 Σεπτεμβρίου. Στις 30 Σεπτεμβρίου το τεχνικό τμήμα αναγνώρισε το πρόβλημα και προχώρησε στη δημιουργία patch για την επίλυσή του. Να σημειωθεί ότι το software Bugzilla χρησιμοποιείται μεταξύ άλλων από τις: Mozilla Firefox, Apache, OpenSSH, Eclipse, το KDE, GNOME, το Wikimedia Foundation, το Wireshark και Novell.
Πηγή: SecNews
http://www.trelokouneli.gr/patch-gia-thn-antimetopish-eupatheias-sto-bugzilla/
0 σχόλια:
Δημοσίευση σχολίου
Παρακαλώ προσπαθείτε να μην βρίζετε στα σχόλια και να μην θίγετε ονομαστικά πρόσωπα,κάνουμε πάντα έναν έλεγχο, ώστε να μην π.χ κατηγορούνται άδικα πρόσωπα.
Δεν θέλουμε να μπούμε σε διαδικασία να σβήνουμε σχόλια, ούτε φυσικά και να τα καταργήσουμε, γιατί δεν γουστάρουμε...