Se han publicado nuevas
versiones de Bugzilla para solucionar dos nuevas vulnerabilidades que podrían
permitir a atacantes inyectar comandos y obtener información sensible.
Bugzilla es una herramienta de seguimiento de
errores de código abierto, basada en web, y muy utilizada por empresas de
desarrollo de software para sus proyectos. Además de la gestión de fallos y
vulnerabilidades, también permite determinar la prioridad y severidad de los mismos,
agregar comentarios y propuestas de solución, designar responsables para cada
uno de ellos, enviar mensajes de correo para informar de un error, etc.
El primero de los
problemas (CVE-2014-8630) reside en que Bugzilla no utiliza de forma adecuada
algunos argumentos en determinados formularios. Esto puede permitir la
inyección de comandos a un usuario con permisos "editcomponents". Por
otra parte usando la API WebServices un usuario podría ejecutar funciones
importadas de otros módulos diferentes, lo que podría facilitar la fuga de
información.
Las correcciones para estos problemas se
encuentran incluidas en las versiones 4.0.16, 4.2.12, 4.4.7 y 5.0rc1,
disponibles desde http://www.bugzilla.org/download/
Más información:
- 5.0rc1, 4.4.6, 4.2.11, and 4.0.15 Security Advisory http://www.bugzilla.org/security/4.0.15/
- Bug 1079065 - (CVE-2014-8630) [SECURITY] Always use the 3 arguments
form for open() to prevent shell code injection https://bugzilla.mozilla.org/show_bug.cgi?id=1079065
- Bug 1090275 - WebServices modules should maintain a whitelist of
methods that are allowed instead of allowing access to any function
imported into its namespace https://bugzilla.mozilla.org/show_bug.cgi?id=1090275
