Se han publicado nuevas versiones de Bugzilla para
solucionar cuatro nuevas vulnerabilidades que podrían permitir a atacantes la
creación de cuentas sin autorización, la realización de ataques cross-site
scripting, la fuga de información y de ingeniería social.
Bugzilla es una
herramienta de seguimiento de errores de código abierto, basada en web, y muy
utilizada por empresas de desarrollo de software para sus proyectos. Además de
la gestión de fallos y vulnerabilidades, también permite determinar la
prioridad y severidad de los mismos, agregar comentarios y propuestas de
solución, designar responsables para cada uno de ellos, enviar mensajes de
correo para informar de un error, etc.
El primero de
los problemas (CVE-2014-1572) podría permitir que un atacante al crear una
nueva cuenta Bugzilla anule determinados parámetros, lo que podría llevar a que
el nuevo usuario se cree con una dirección de correo electrónico de la
introducida originalmente. Esto podría facilitar al atacante que su cuenta de
usuario sea añadida a determinados grupos, con mayor acceso a información, al
basar la inclusión en grupos por ejemplo si la dirección es de un determinado
dominio.
También se han
encontrado múltiples problemas de cross-site scripting (CVE-2014-1573). Otro
problema de fuga de información podría hacer visibles a todos los usuarios
determinados comentarios marcados para un grupo interno (CVE-2014-1571). Y por
último, resultados de búsqueda pueden exportarse como archivo CSV que pueden
importarse por un programa de hoja de cálculo. Campos con valores especialmente
formateados pueden ser interpretados como fórmulas que se pueden ejecutar y
utilizar para atacar el sistema de un usuario.
Recomendación
- Las
correcciones para estos problemas se encuentran incluidas en las versiones
4.0.15, 4.2.11, 4.4.6, 4.5.6, disponibles desde: http://www.bugzilla.org/download/
Más información:
Fuente: Hispasec