受影响系统:
Mozilla Bugzilla 3.x
不受影响系统:
Mozilla Bugzilla 4.0rc2
Mozilla Bugzilla 3.6.4
Mozilla Bugzilla 3.4.10
Mozilla Bugzilla 3.2.10
描述:
Bugzilla是很多软件项目都在使用的基于Web的BUG跟踪系统。
Bugzilla在实现上存在安全漏洞,远程攻击者可利用这些漏洞执行脚本插入、HTTP响应拆分和跨站请求伪造攻击并可绕过某些安全限制。
1)不足的随机数错误,导致获取用户账号;
2)某些输入在返回给用户之前未能正确过滤,导致插入包含发送给用户的响应的任意HTTP头选项;
3)发送给URL字段的某些输入在使用前未能正确过滤,导致插入HTML和脚本代码,在浏览恶意数据时在受影响站点的浏览器会话中执行;
4)应用程序允许用户通过HTTP请求执行某些操作,而不执行有效的验证,在用户浏览特制的网页时利用该漏洞。
<*来源:Willem Pinckaers
Max Kanat-Alexander (mkanat@bugzilla.org)
Jose A. Vazquez
Reed Loden
*>
建议:
厂商补丁:
Mozilla
——-
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
0 条评论。