Patch di sicurezza per Bugzilla
Massimo Rabbi | 27 agosto 2007 | 19:38Gli sviluppatori hanno rilasciato una nuova versione del software open-source Bugzilla, largamente utilizzato per gestire e tenere traccia dei bugs e del loro status di avanzamento.
E’ stato pubblicato un advisory per spiegare quali vulnerabilità sono state “riparate” nella nuova versione.
Gli argomenti che vengono passati al software di invio mail dalla funzione Email::Send::Sendmail() non sono sufficientemente controllati e consentono ad un ipotetico attaccante di iniettare comandi di shell.
Non vengono inoltre adeguatamente filtrate le sequenze di caratteri per il parametro buildid all’interno del guided form; questo lascia via libera ad attacchi di tipo cross-site scripting.
Infine le deadlines e tutti i campi relativi alle “tempistiche” possono essere visionate da chiunque, utilizzando il Bugzilla WebService (XML-RPC) , anche se non si dispongono delle autorizzazioni necessarie.
Le versioni interessate da questi problemi sono tutte quelle precendenti a quelle attualmente patchate, ovvero le 2.20.5, 2.22.3, 3.01 e la versione sviluppo 3.1.1.
L’aggiornamento è caldamente consigliato.
LINKS:
- 2.20.4, 2.22.2, and 3.0 Security Advisory, advisory degli sviluppatori Bugzilla
- Download della versione corrente di Bugzilla
- Bugzilla closes security holes, advisory su Heise-Security
