Drei Fehler in Bugzilla beseitigt
In der Fehlerdatenbank Bugzilla wurden drei Schwachstellen entdeckt, mit der unautorisierte Anwender Einträge manipulieren und bestimmte Informationen einsehen können.
In der Fehlerdatenbank Bugzilla wurden drei Schwachstellen entdeckt, mit der unautorisierte Anwender Einträge manipulieren und bestimmte Informationen einsehen können. Ein Fehler in der process_bug.cgi ermöglicht es Angreifern, mit manipulierten HTTP-POST-Requests Keywords aus einem Eintrag zu entfernen. Beim Exportieren von Reports in XML ist es zudem möglich, Kommentare und Zusammenfassungen einzusehen, auch wenn man nicht über die erforderlichen Gruppenrechte verfügt. Durch einen weitereren Fehler sind Änderungen der Metadaten von Anhängen ebenfalls für unautorisierte Anwender einsehbar.
Der Keyword-Bug findet sich in den Versionen 2.9 bis 2.18rc2 sowie 2.19. Die beiden anderen Fehler sind in den Versionen 2.17.1 bis 2.18rc2 sowie 2.19 enthalten. In den Versionen 2.16.7, 2.18rc3 und 2.19.1 sind die Schwachstellen beseitigt.
Siehe dazu auch: (dab)
- Security Advisory auf Bugzilla.org
