S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 05 août 2011
N° CERTA-2011-AVI-430
Affaire suivie par: CERT-FR
le 05 août 2011

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Bugzilla

Gestion du document

Référence CERTA-2011-AVI-430
Titre Multiples vulnérabilités dans Bugzilla
Date de la première version 05 août 2011
Date de la dernière version 05 août 2011
Source(s) Bulletin de sécurité Bugzilla du 4 aout 2011
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité ;
  • atteinte à la confidentialité des données ;
  • injection de code indirecte à distance.

Systèmes affectés

  • Bugzilla version 3.4.x antérieures à la version 3.4.12 ;
  • Bugzilla version 3.6.x antérieures à la version 3.6.6 ;
  • Bugzilla version 4.0.x antérieures à la version 4.0.2 ;
  • Bugzilla version 4.1.x antérieures à la version 4.1.3.

Résumé

Plusieurs vulnérabilités ont été corrigées dans Bugzilla.

Description

Plusieurs vulnérabilités ont été corrigées dans Bugzilla dont :

  • une mauvaise validation de certains éléments permet de mener des attaques par injection de code indirecte ;
  • Il est possible de déterminer l'existence d'éléments confidentiels lors de la création ou de la mise à jour de bugs ;
  • Une mauvaise gestion de fichiers temporaires peut être exploitées par des utilisateurs locaux pour porter atteinte à la confidentialité des données.

Se référer au bulletin de l'éditeur pour plus de détails sur les vulnérabilités corrigées et les versions affectées par ces vulnérabilités.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Les versions 3.4.12, 3.6.6, 4.0.2 et 4.1.3 corrigent ces vulnérabilités.

Documentation

Gestion détaillée du document

    le 05 août 2011
    version initiale.