Se han anunciado dos vulnerabilidades que afectan a Bugzilla y podrían permitir la revelación de información potencialmente sensible.
Bugzilla es una herramienta de seguimiento de errores de código abierto, basada en web, y muy utilizada por empresas de desarrollo de software para sus proyectos. Además de la gestión de fallos y vulnerabilidades, también permite determinar la prioridad y severidad de los mismos, agregar comentarios y propuestas de solución, designar responsables para cada uno de ellos, enviar mensajes de correo para informar de un error, etc.
Frédéric Buclin y Byron Jones han descubierto dos vulnerabilidades que afectan a Bugzilla y que son debidas a errores de falta de comprobación de permisos.
-
La primera de ellas se produce al tener en cuenta los permisos del remitente pero no los del destinatario de un ‘bugmail’ (email en formato HTML referente a una incidencia o bug). En dicho correo se incluyen enlaces a los identificadores de las incidencias y de los adjuntos, además de un resumen de ellos si el que envía tiene permisos para verlos. De esta forma, información reservada puede ser revelada al destinatario del correo aunque éste disfrute de menos permisos que el remitente. Esta vulnerabilidad ha sido identificada como CVE-2012-1968 y afecta a las ramas 4.x de Bugzilla.
-
La otra vulnerabilidad ocurre cuando un usuario que tiene permisos para ver un archivo adjunto privado, menciona dicho adjunto en el comentario público de una incidencia. El error se encuentra en la función ‘get_attachment_link’ que no valida los permisos de los usuarios para mostrar la descripción del adjunto. El identificador CVE-2012-1969 se ha asignado a esta vulnerabilidad que afecta a las versiones 2.x, 3.x, y 4.x.
Se encuentran disponibles para su descarga las versiones 3.6.10, 4.0.7, 4.2.2 y 4.3.2 que solucionan las vulnerabilidades anteriores.
Más información:
Bugzilla 4.3.1, 4.2.1, 4.0.6, and 3.6.9 Security Advisory
(CVE-2012-1968) [SECURITY] HTML bugmail exposes information about
restricted bugs
(CVE-2012-1969) [SECURITY] The description of private attachments is
still visible to unauthorized users when mentioned in a comment
Juan José Ruiz
