Se han publicado nuevas versiones de Bugzilla para solucionar dos nuevas vulnerabilidades que podrían permitir a atacantes inyectar comandos y obtener información sensible.
Bugzilla es una herramienta de seguimiento de errores de código abierto, basada en web, y muy utilizada por empresas de desarrollo de software para sus proyectos. Además de la gestión de fallos y vulnerabilidades, también permite determinar la prioridad y severidad de los mismos, agregar comentarios y propuestas de solución, designar responsables para cada uno de ellos, enviar mensajes de correo para informar de un error, etc.
El primero de los problemas (CVE-2014-8630) reside en que Bugzilla no utiliza de forma adecuada algunos argumentos en determinados formularios. Esto puede permitir la inyección de comandos a un usuario con permisos «editcomponents«. Por otra parteusando la API WebServices un usuario podría ejecutar funciones importadas de otros módulos diferentes, lo que podría facilitar la fuga de información.
Las correcciones para estos problemas se encuentran incluidas en las versiones 4.0.16, 4.2.12, 4.4.7 y 5.0rc1, disponibles desde:
Más información:
5.0rc1, 4.4.6, 4.2.11, and 4.0.15 Security Advisory
Bug 1079065 – (CVE-2014-8630) [SECURITY] Always use the 3 arguments form for open() to prevent shell code injection
Bug 1090275 – WebServices modules should maintain a whitelist of methods that are allowed instead of allowing access to any function imported into its namespace
Antonio Ropero
Twitter: @aropero
Deja una respuesta