Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité

Systèmes affectés

Bugzilla 2.x et versions antérieures.

Résumé

Deux vulnérabilités découvertes dans Bugzilla permettent à un utilisateur distant mal intentionné de contourner la politique de sécurité et/ou de porter atteinte à la confidentialité des données.

Description

Bugzilla est un programme qui permet le suivi des erreurs de programmation et des vulnérabilités.

  • Une vulnérabilité dans le script config.cgi permet à un individu distant, mal intentionné, d'outrepasser l'authentification mise en place par le site web et de prendre connaissance de certaines informations relatives au système ;
  • une seconde vulnérabilité peut être exploitée à distance par une personne malveillante afin de découvrir la liste des utilisateurs invisibles.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation