Vulnérabilités dans Bugzilla

Gestion du document

Référence	CERTA-2010-AVI-362
Titre	Vulnérabilités dans Bugzilla
Date de la première version	09 août 2010
Date de la dernière version	09 août 2010
Source(s)	Avis de sécurité Bugzilla du 05 août 2010
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Contournement de la politique de sécurité ;
atteinte à la confidentialité des données ;
deni de service.

Systèmes affectés

Bugzilla 2.x ;
Bugzilla 3.x.

Résumé

Plusieurs vulnérabilités ont été corrigées dans Bugzilla.

Description

Plusieurs failles dans Bugzilla permettent à une personne malintentionnée de contourner la politique de sécurité et de porter atteinte à la confidentialité des données. Une vulnérabilité concernant les configurations utilisant PostgreSQL permet également à des personnes d'empêcher le visionnage de bugs en y insérant des commentaires spécialement conçus.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Avis de sécurité Bugzilla du 05 août 2010 :
```
http://www.bugzilla.org/security/3.2.7/
```

Référence CVE CVE-2010-2756 :

https://www.cve.org/CVERecord?id=CVE-2010-2756

Référence CVE CVE-2010-2757 :

https://www.cve.org/CVERecord?id=CVE-2010-2757

Référence CVE CVE-2010-2758 :

https://www.cve.org/CVERecord?id=CVE-2010-2758

Référence CVE CVE-2010-2759 :

https://www.cve.org/CVERecord?id=CVE-2010-2759

Avis du CERT-FR

Objet: Vulnérabilités dans Bugzilla