Bugzilla dichtet Sicherheitslecks ab
In dem Fehlerdatenbanksystem Bugzilla können Angreifer Shell-Befehle ausführen, Cross-Site-Scripting-Lücken ausnutzen und unberechtigt an Informationen gelangen.
Die Entwickler haben neue Versionen der quelloffenen Software Bugzilla herausgegeben, einem weit verbreiteten System zur Verwaltung von Fehlerberichten und deren Bearbeitungsstatus. In einer Sicherheitsmeldung erläutern sie, welche Schwachstellen sie in den neuen Fassungen behoben haben.
Die Bugzilla-Software überprüft und wandelt Argumente nicht korrekt um, die beim Aufruf von Email::Send::Sendmail() an die Mail-Software übergeben werden. Dadurch können Angreifer Shell-Befehle einschleusen. Eine fehlerhafte Umwandlung des Übergabeparameters buildid beim Anlegen von Fehlereinträgen mit dem so genannten Guided Form ermöglicht Cross-Site-Scripting-Angriffe. Außerdem kann jeder durch den Bugzilla-WebService (XML-RPC) Zeitpläne von Fehlereinträgen wie geschätzte Fertigstellungszeitpunkte einsehen, auch wenn der Anwender eigentlich keine Berechtigung dazu besitzt.
Die Fehler betreffen Versionen vor den aktuellen Fassungen 2.20.5, 2.22.3, 3.01 und der Entwicklerversion 3.1.1, in denen die Programmierer die Probleme ausgebügelt haben. Das Bugzilla-Team empfiehlt Nutzern der Software, umgehend auf die neuen Versionen zu aktualisieren.
Siehe dazu auch:
- 2.20.4, 2.22.2, and 3.0 Security Advisory, Sicherheitsmeldung der Bugzilla-Entwickler
- Download der aktuellen Bugzilla-Version
(dmk)
