Множественные уязвимости в Bugzilla

Описание: Несколько уязвимостей обнаружено в Bugzilla. Удаленный пользователь может получить доступ к некоторым данным. Удаленный авторизованный пользователь может выполнить нападения SQL инъекции.

1. Удаленный авторизованный пользователь с 'editproducts' привилегиями может представить специально обработанное имя продукта, чтобы выполнить произвольный SQL код в daily statistics cron job (collectstats.pl) [Bugzilla Bug ID 214290;]

2. Удаленный авторизованный пользователь с 'editkeywords' привилегиями может представить специально обработанную версию URL, используемую для редактирования существующих ключевых слов, чтобы выполнить произвольный SQL код на уязвимой системе [Bugzilla Bug ID 219044; http://bugzilla.mozilla.org/show_bug.cgi?id=219044].

3. Программа не достаточно прослеживает некоторые привилегии пользователя. Если установлен параметр usebuggroups' и удален продукт, то программа не удаляет соответствие пользователя к номеру группы (group ID). В результате, если номер group ID будет в дальнейшем повторно использован, некоторые пользователи может получить привилегии добавления пользователей к группе. [Bugzilla Bug ID 219690; http://bugzilla.mozilla.org/show_bug.cgi?id=219690].

4. Удаленный пользователь может получить список уязвимостей безопасности, если пользователь знает email адрес пользователя, который имеет право просматривать список уязвимостей [Bugzilla Bug ID 209376; http://bugzilla.mozilla.org/show_bug.cgi?id=209376].

5. Удаленный пользователь может получить доступ к описанию компонентов продукта, к которому он не имеет доступа. [Bugzilla Bug ID 209742; http://bugzilla.mozilla.org/show_bug.cgi?id=209742]. ].

URL производителя: http://www.bugzilla.org/

Решение: Установите обновленную версию программы (2.16.4): http://bugzilla.org/download.html