Bugzilla: Sicherheitslücke verrät Sicherheitslücken

Eine offenbar seit Jahren in Bugzilla verborgene Lücke erlaubte das Einsehen von beliebigen Bugs, die von anderen Nutzern gemeldet wurden. Bugzilla stammt von Mozilla und wird für Open-Source-Software wie Apache, den Linux-Kernel oder OpenSSH verwendet.

In Pocket speichern vorlesen Druckansicht 55 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Uli Ries

Mitarbeiter des Sicherheitsanbieters Check Point haben Ende September eine Lücke in Bugzilla entdeckt und an Mozilla gemeldet, deren Missbrauch zu einer Rechteerhöhung führt: Beliebige Nutzer können durch Angabe einer falschen E-Mail-Adresse beim Registrieren bei Bugzilla Bug-Berichte anderer Anwender der Software einsehen. Dies ist kritisch, da es sich in aller Regel ja um nicht behobene Sicherheitsprobleme in den Produkten der Softwareanbieter handelt – samt ausführlicher Beschreibung des Bugs.

Wie ein Check-Point-Mitarbeiter dem US-Journalisten Brian Krebs sagte, konnten sich die Fachleute durch Manipulation einiger Datenbankfelder beim Registrieren mit einer E-Mail-Adresse wie admin@mozilla.org bei Bugzilla anmelden und in der Folge alle von dieser Organisation gemeldeten Bugs einsehen – ohne dass sie Kontrolle über den jeweiligen E-Mail-Account haben. Laut Mozilla bestand die Schwachstelle, die jetzt durch ein Update geschlossen werden kann, schon seit 2006 (Version 2.23.3) in der im Quelltext vorliegenden Software. Außerdem sei es dem Angreifer möglich, die Bug-Berichte durch Missbrauch der Lücke abzuändern.

Laut Mozilla gebe es keine Anhaltspunkte dafür, dass die Lücke in der Vergangenheit missbraucht wurde oder dass es unberechtigte Zugriffe auf gültige Nutzerkonten gab. Check Point rät Administratoren von Bugzilla-Installationen dazu, die Liste ihrer aktuellen Nutzer nach ungewöhnlichen Aktivitäten abzuklopfen. (rei)