Sicherheits-Updates für Bugzilla
Die Entwickler des Fehler-Tracking-Systems Bugzilla haben die Versionen 3.3.4 und 3.2.3 vorgelegt, in denen eine Cross-Site-Request-Forgery-Lücke geschlossen ist.
- Daniel Bachfeld
Die Entwickler des Fehler-Tracking-Systems Bugzilla haben die Versionen 3.3.4 und 3.2.3 vorgelegt, in denen eine Cross-Site-Request-Forgery-Lücke geschlossen ist. Bislang prüfte offenbar die Funktion zum Editieren von Anhängen nicht, ob weitere HTTP-Requests (an attachment.cgi) nach der Authentifizierung des Anwenders autorisiert waren.
Ein Angreifer hätte dadurch eigene Befehle an eine Bugzilla-Installation senden und so etwa einen Anhang, beispielsweise einen Patch, manipulieren können. Für einen erfolgreichen Angriffe müsste ein Opfer im Browser aber parallel zum Bugzilla-Fenster ein Fenster mit einer präparierten Webseite geöffnet haben.
Abhilfe schafft nun die Einführung eines für Außenstehende nicht vorhersagbaren Tokens, den Bugzilla bei jedem Aufruf der Attachment-Funktion prüft. Dazu müsste nach Angaben der Entwickler aber zunächst eine Zeitstempelfunktion für Anhänge implementiert werden. Neben den Updates stehen auch Patches bereit.
Weitere Information zum Thema Cross Site Request Forgery liefert auch der Artikel "Dunkle Flecken - Neuartige Angriffe überrumpeln Webanwender" auf heise Security
Siehe dazu auch:
- 3.2.2 and 3.3.3 Security Advisory, Bericht von Bugzilla
(dab)
