Sicherheits-Updates für Fehlerdatenbank Bugzilla

Die Updates schließen Cross-Site-Request-Forgery- und Cross-Site-Scripting-Lücken. Ein weiteres Update beseitigt einen Fehler, den das vorherige Update einführte.

04.02.2009, 12:32 Uhr

Lesezeit: 1 Min.

Security

Von

Daniel Bachfeld

Die Entwickler der Fehlerdatenbank Bugzilla haben neue Versionen veröffentlicht, die mehrere Fehler beheben sollen. Im Wesentlichen handelt es sich dabei um Cross-Site-Request-Forgery-(CSRF-) und Cross-Site-Scripting-(XSS-)Lücken, durch die ein Angreifer bestimmte Aktionen in der Fehlerdatenbank im Kontext des Opfers anstoßen kann. Dazu genügt es unter anderem, ein präpariertes Attachment zu öffnen.

Die Updates auf die Versionen 2.22.7, 3.0.7, 3.2.1 und 3.3.2 sollten die Probleme eigentlich beheben und unter anderem einen zusätzlich CSRF-Schutz einführen. Allerdings führte ein Fehler dazu, dass bei Bugzilla in Kombination mit mod_perl die Tokens in URLs vorhersagbar waren und somit der CSRF-Schutz ausgehebelt war. In den Versionen 3.2.2, 3.0.8 und 3.3.3 ist auch dieser Fehler behoben.

Siehe dazu auch:

3.2, 3.0.6, 2.22.6, and 3.3.1 Security Advisory, Bericht von Bugzilla
3.2.1, 3.0.7, and 3.3.2 Security Advisory, Bericht von Bugzilla

(dab)

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Sicherheits-Updates für Fehlerdatenbank Bugzilla

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.