Множественные уязвимости в Bugzilla
| Дата публикации: | 09.08.2010 |
| Всего просмотров: | 1515 |
| Опасность: | Низкая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 4 |
| CVSSv2 рейтинг: | 4 (AV:N/AC:L/Au:S/C:P/I:N/A:N/E:U/RL:O/RC:C) 4 (AV:N/AC:L/Au:S/C:P/I:N/A:N/E:U/RL:O/RC:C) 3.5 (AV:N/AC:M/Au:S/C:N/I:N/A:P/E:U/RL:O/RC:C) 4.7 (AV:N/AC:L/Au:M/C:P/I:P/A:N/E:U/RL:O/RC:C) |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Отказ в обслуживании Раскрытие важных данных Обход ограничений безопасности |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
Bugzilla 2.x
Bugzilla 3.x |
| Уязвимые версии: Bugzilla версии до 3.2.8, 3.4.8, 3.6.2 и 3.7.3
Описание: 1. Уязвимость существует из-за ошибки в интерфейсе поиска по булевым картам. Злоумышленник может получить информацию о членстве в группах других пользователей. 2. Уязвимость существует из-за ошибки на страницах "Reports" и "Duplicates". Удаленный пользователь может получить информацию об именах скрытых продуктов. 3. Уязвимость существует из-за ошибки при обработке комментариев к ошибкам. Удаленный пользователь может с помощью слишком длинного целочисленного значения в поле комментария запретить просмотр сообщений об ошибках. Для успешной эксплуатации уязвимости приложение должно работать в связке с базой данных PostgreSQL. 4. Уязвимость существует из-за ошибки в функционале "sudo". Удаленный пользователь может с помощью специально сформированного файла куки отключить уведомления для целевого пользователя. Для успешной эксплуатации уязвимости требуются привилегии "sudo". URL производителя: bugzilla.org Решение: Установите последнюю версию 3.2.8, 3.4.8, 3.6.2 или 3.7.3 с сайта производителя. |
|
| Ссылки: |
http://www.bugzilla.org/security/3.2.7/ https://bugzilla.mozilla.org/show_bug.cgi?id=417048 https://bugzilla.mozilla.org/show_bug.cgi?id=577139 https://bugzilla.mozilla.org/show_bug.cgi?id=583690 https://bugzilla.mozilla.org/show_bug.cgi?id=450013 |