Bugzilla Bug状态修改安全绕过漏洞

发表评论 (0) 查看评论

漏洞起因
访问验证错误
 
影响系统
Mozilla Bugzilla 3.3.4
Mozilla Bugzilla 3.3.3
Mozilla Bugzilla 3.3.3
Mozilla Bugzilla 3.3.2
Mozilla Bugzilla 3.3.1
Mozilla Bugzilla 3.2.3
Mozilla Bugzilla 3.2.2
Mozilla Bugzilla 3.2.2
Mozilla Bugzilla 3.2.1
Mozilla Bugzilla 3.1.4
Mozilla Bugzilla 3.1.3
Mozilla Bugzilla 3.1.2
Mozilla Bugzilla 3.1.1
Mozilla Bugzilla 3.2rc2
Mozilla Bugzilla 3.2rc1
Mozilla Bugzilla 3.2
 
不受影响系统
Mozilla Bugzilla 3.2.4
Mozilla Bugzilla 3.4 rc1
 
危害
远程攻击者可以利用漏洞修改缺陷报告状态。
 
攻击所需条件
攻击者必须访问Bugzilla。
 
漏洞信息
Bugzilla是一款基于Web的BUG跟踪系统。
Bugzilla存在安全绕过问题,远程攻击者可以利用漏洞修改缺陷报告状态。
在部分条件下,用户即使不属于canconfirm组也可以确认bugs条目,或本身用户不能访问bug条目的情况下设置bug状态信息(如这些报告者本身没有对bug设置任何状态的权限,只能关闭这个bug状态)。
 
测试方法
 
厂商解决方案
升级到最新版本:
Mozilla Bugzilla 3.2rc1
Mozilla bugzilla-3.2.4.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.2.4.tar.gz
Mozilla Bugzilla 3.2rc2
Mozilla bugzilla-3.2.4.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.2.4.tar.gz
Mozilla Bugzilla 3.2
Mozilla bugzilla-3.2.4.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.2.4.tar.gz
Mozilla Bugzilla 3.1.1
Mozilla bugzilla-3.2.4.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.2.4.tar.gz
Mozilla Bugzilla 3.1.2
Mozilla bugzilla-3.2.4.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.2.4.tar.gz
Mozilla Bugzilla 3.1.3
Mozilla bugzilla-3.2.4.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.2.4.tar.gz
Mozilla Bugzilla 3.1.4
Mozilla bugzilla-3.2.4.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.2.4.tar.gz
Mozilla Bugzilla 3.2.1
Mozilla bugzilla-3.2.4.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.2.4.tar.gz
Mozilla Bugzilla 3.2.2
Mozilla bugzilla-3.2.4.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.2.4.tar.gz
Mozilla Bugzilla 3.2.2
Mozilla bugzilla-3.2.4.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.2.4.tar.gz
Mozilla Bugzilla 3.2.3
Mozilla bugzilla-3.2.4.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.2.4.tar.gz
Mozilla Bugzilla 3.3.1
Mozilla bugzilla-3.4rc1.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.4rc1.tar.gz
Mozilla Bugzilla 3.3.2
Mozilla bugzilla-3.4rc1.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.4rc1.tar.gz
Mozilla Bugzilla 3.3.3
Mozilla bugzilla-3.4rc1.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.4rc1.tar.gz
Mozilla Bugzilla 3.3.3
Mozilla bugzilla-3.4rc1.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.4rc1.tar.gz
 
漏洞提供者
Bradley Baetz

发表评论?

0 条评论。

发表评论