Avis du CERT-FR

Objet: Vulnérabilité dans Bugzilla

Gestion du document

Référence	CERTA-2009-AVI-504
Titre	Vulnérabilité dans Bugzilla
Date de la première version	19 novembre 2009
Date de la dernière version	19 novembre 2009
Source(s)	Bulletin de mise à jour Bugzilla du 18 novembre 2009

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Atteinte à la confidentialité des données

Systèmes affectés

Bugzilla versions 3.3.2 à 3.4.3 ;
Bugzilla versions 3.5 à 3.5.1.

Résumé

Une vulnérabilité permettant de divulguer de l'information sensible a été découverte dans Bugzilla.

Description

Une vulnérabilité a été découverte dans Bugzilla. Cette vulnérabilité est due à une erreur dans les listes Depends On et Blocks. L'exploitation de cette vulnérabilité permet de divulguer de l'information sensible.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de mise à jour Bugzilla du 18 novembre 2009

http://www.bugzilla.org/security/3.4.3/

Référence CVE CVE-2009-3386

https://www.cve.org/CVERecord?id=CVE-2009-3386

Gestion détaillée du document

le 19 novembre 2009: version initiale.