受影响系统:
Mozilla Bugzilla 3.5
Mozilla Bugzilla 3.4
Mozilla Bugzilla 3.2
Mozilla Bugzilla 3.0
不受影响系统:
Mozilla Bugzilla 3.5.3
Mozilla Bugzilla 3.4.5
Mozilla Bugzilla 3.2.6
Mozilla Bugzilla 3.0.11
描述:
BUGTRAQ ID: 38025
CVE ID: CVE-2009-3989
Bugzilla是很多软件项目都在使用的基于Web的BUG跟踪系统。
Bugzilla允许Web浏览器显示CVS/、contrib/、docs/en/xml/、t/目录中的文件及old-params.txt文件的内容。默认下这些文件不包含有敏感数据,但自定义安装可能向上述目录中添加了脚本或文件,如口令或其他敏感信息。不受限制的访问这些目录就可能导致泄漏敏感信息。
<*来源:Joel Peshkin
Frédéric Buclin (LpSolit@gmail.com)
链接:http://secunia.com/advisories/38443/
https://bugzilla.mozilla.org/show_bug.cgi?format=multiple&id=314871
https://bugzilla.mozilla.org/show_bug.cgi?format=multiple&id=434801
http://marc.info/?l=bugtraq&m=126506817100388&w=2
*>
建议:
厂商补丁:
Mozilla
——-
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
0 条评论。