S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 18 septembre 2009
N° CERTA-2009-AVI-391
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Bugzilla

Gestion du document

Référence CERTA-2009-AVI-391
Titre Multiples vulnérabilités dans Bugzilla
Date de la première version18 septembre 2009
Date de la dernière version19 octobre 2009
Source(s) Bulletin de sécurité Bugzilla du 11 septembre 2009

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données

Systèmes affectés

  • Bugzilla 3.0.8 ;
  • Bugzilla 3.2.4 ;
  • Bugzilla 3.4.1.

Résumé

Plusieurs vulnérabilités présentes dans Bugzilla permettent à un utilisateur distant malintentionné de porter atteinte à la confidentialité ou à l'intégrité des données.

Description

Trois vulnérabilités sont présentes dans Bugzilla :

  • la première concerne un manque de contrôle dans certaines entrées passées au service Bug.search et permet d'injecter des commandes SQL ;
  • la seconde est relative à un manque de contrôle dans certaines entrées passées au service Bug.create et permet d'injecter des commandes SQL ;
  • la dernière est relative au mécanisme de gestion des mots de passe des utilisateurs qui, sous certaines conditions, affiche des mots de passe en clair.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Les versions 3.0.9, 3.2.5 et 3.4.2 corrigent le problème :

http://www.bugzilla.com/download/

Documentation

Gestion détaillée du document

    le 18 septembre 2009
    version initiale.
    le 19 octobre 2009
    ajout de la référence au bulletin de sécurité Debian.