Fehlerdatenbank Bugzilla mit einigen Schwächen

Auf Bugzilla.org ist ein Security-Advisory erschienen, das von fünf Schwachstellen im web-basierten Bug-Tracking-System Bugzilla berichtet. Zahlreiche Software-Projekte setzen Bugzilla zur Meldung und Verwaltung von Fehler-Reports ein.

Zwei der Fehler ermöglichen mittels SQL-Injection, nicht nur Parameter, sondern auch eigene Befehle an die Datenbank zu übergeben. Allerdings muss man dazu bereits als privilegierter Benutzer angemeldet sein. Mit einem weiteren Fehler kann ein Anwender seine bisherigen Zugriffsrechte erweitern. Mit den anderen zwei Lücken kann ein Nutzer auf Information zugreifen, für die er eigentlich keine Rechte hat.

Betroffen sind die Versionen von einschließlich 2.16.3 und 2.17.1 bis 2.17.4, wobei nicht jeder Fehler in allen Versionen zu finden ist. Nähere Informationen dazu sind dem Advisory zu entnehmen. Obwohl keine der Schwachstellen als kritisch eingeschätzt wird, empfiehlt Bugzilla.org auf die Stable-Version 2.16.4 oder die Developer-Version 2.17.5 zu wechseln. (dab)