Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service
Systèmes affectés
- Bugzilla 2.x ;
- Bugzilla 3.x.
Résumé
Plusieurs vulnérabilités ont été corrigées dans Bugzilla.
Description
Plusieurs failles dans Bugzilla permettent à une personne malintentionnée de contourner la politique de sécurité et de porter atteinte à la confidentialité des données. Une vulnérabilité concernant les configurations utilisant PostgreSQL permet également à des personnes d'empêcher le visionnage de bugs en y insérant des commentaires spécialement conçus.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Avis de sécurité Bugzilla du 05 août 2010 http://www.bugzilla.org/security/3.2.7/
- Référence CVE CVE-2010-2756 https://www.cve.org/CVERecord?id=CVE-2010-2756
- Référence CVE CVE-2010-2757 https://www.cve.org/CVERecord?id=CVE-2010-2757
- Référence CVE CVE-2010-2758 https://www.cve.org/CVERecord?id=CVE-2010-2758
- Référence CVE CVE-2010-2759 https://www.cve.org/CVERecord?id=CVE-2010-2759