Risque
- Contournement de la politique de sécurité ;
- atteinte à la confidentialité des données ;
- deni de service.
Systèmes affectés
- Bugzilla 2.x ;
- Bugzilla 3.x.
Résumé
Plusieurs vulnérabilités ont été corrigées dans Bugzilla.
Description
Plusieurs failles dans Bugzilla permettent à une personne malintentionnée de contourner la politique de sécurité et de porter atteinte à la confidentialité des données. Une vulnérabilité concernant les configurations utilisant PostgreSQL permet également à des personnes d'empêcher le visionnage de bugs en y insérant des commentaires spécialement conçus.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Avis de sécurité Bugzilla du 05 août 2010 :
http://www.bugzilla.org/security/3.2.7/
- Référence CVE CVE-2010-2756 :
https://www.cve.org/CVERecord?id=CVE-2010-2756
- Référence CVE CVE-2010-2757 :
https://www.cve.org/CVERecord?id=CVE-2010-2757
- Référence CVE CVE-2010-2758 :
https://www.cve.org/CVERecord?id=CVE-2010-2758
- Référence CVE CVE-2010-2759 :
https://www.cve.org/CVERecord?id=CVE-2010-2759