Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité

Systèmes affectés

  • pour la branche instable; Bugzilla version 2.19.3 et versions antérieures sont vulnérables ;
  • Pour la branche stable Bugzilla version 2.18.1 et versions antérieures sont vulnérables ;
  • une récente vulnérabilité décrite dans cet avis affecte la branche stable Bugzilla 2.18.2 et versions antérieures.

Résumé

Deux vulnérabilités découvertes dans Bugzilla permet à un utilisateur distant mal intentionné de contourner la politique de sécurité et/ou de porter atteinte à la confidentialité des données.

Description

Bugzilla est un programme qui permet le suivi des erreurs de programmation et des vulnérabilités.

  • Une vulnérablité dans Bugzilla permet à un individu malintentionné de contourner la politique de sécurité afin de modifier les valeurs affectés à un rapport de vulnérabilité ou d'erreur de programmation (CAN-2005-2173) ;
  • une seconde vulnérabilité permet à un utilisateur distant mal intentionné de porter atteinte à la confidentialité des données en manipulant malicieusement l'adresse réticulaire (URL) (CAN-2005-2174).

Solution

Mettre à jour Bugzilla en version 2.18.3 (pour la branche stable) et en version 2.20.rc1 (pour la branche instable).

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documenation).

Documentation