Risque
- Contournement de la politique de sécurité ;
- injection de code indirecte à distance.
Systèmes affectés
Bugzilla versions :
- 3.2.x antérieures à 3.2.9 ;
- 3.4.x antérieures à 3.4.9 ;
- 3.6.x antérieures à 3.6.3.
Résumé
Trois failles ont été corrigées dans Bugzilla dont l'exploitation permet, entre autres, l'injection de code indirecte à distance.
Description
Une erreur dans la validation d'une entrée non spécifiée par l'éditeur permet d'insérer des en-têtes arbitraires dans la réponse retournée par le serveur à l'utilisateur. Une personne malintentionnée peut réaliser par ce biais une injection de code indirecte à distance (CVE-2010-3172).
Les noms des graphes créés dans le répertoire graphs/ sont prédictibles. Il est alors possible à un utilisateur non autorisé d'accéder à ces graphes (CVE-2010-3764).
Enfin, une vulnérabilité permettant l'injection de code indirecte à distance affecte la version 2.8.1 de la Yahoo! UI Library qui est incluse dans Bugzilla.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Bugzilla du 2 novembre 2010
http://www.bugzilla.org/security/3.2.8/
- Référence CVE CVE-2010-3172 :
https://www.cve.org/CVERecord?id=CVE-2010-3172
- Référence CVE CVE-2010-3764 :
https://www.cve.org/CVERecord?id=CVE-2010-3764