lunes, 14 de septiembre de 2015

Corregida vulnerabilidad en Bugzilla

Se han publicado nuevas versiones de Bugzilla para solucionar una nueva vulnerabilidad que podría permitir a atacantes remotos conseguir crear cuentas de usuario sin autorización.

Bugzilla es una herramienta de seguimiento de errores de código abierto, basada en web, y muy utilizada por empresas de desarrollo de software para sus proyectos. Además de la gestión de fallos y vulnerabilidades, también permite determinar la prioridad y severidad de los mismos, agregar comentarios y propuestas de solución, designar responsables para cada uno de ellos, enviar mensajes de correo para informar de un error, etc.

El problema (CVE-2015-4499) reside en que los nombres de usuario (habitualmente una dirección de correo) de más de 127 caracteres pueden corromperse al grabarse. Esto podría permitir a un atacante crear una cuenta con una cuenta de correo diferente a la solicitada originalmente. De esta forma, la cuenta de usuario puede añadirse de forma automática a grupos para los que el usuario no esté autorizado, basándose en la configuración de expresiones regulares del grupo.

La corrección para este problema se encuentra incluidas en las versiones 4.2.15, 4.4.10, 5.0.1, disponibles desde:

Más información:

5.0, 4.4.9, and 4.2.14 Security Advisory



Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada