Bugzilla信息泄露漏洞(CVE

发布日期:2014-10-09
更新日期:2014-10-09

受影响系统:
Bugzilla Bugzilla 4.5.1 - 4.5.5
 Bugzilla Bugzilla 4.3.1 - 4.4.5
 Bugzilla Bugzilla 4.1.1 - 4.2.10
 Bugzilla Bugzilla 2.17.1 - 4.0.14
不受影响系统:
Bugzilla Bugzilla 4.5.6
 Bugzilla Bugzilla 4.4.6
 Bugzilla Bugzilla 4.2.11
 Bugzilla Bugzilla 4.0.15
描述:
CVE(CAN) ID: CVE-2014-1571

Bugzilla是一个开源的缺陷跟踪系统,它可以管理软件开发中缺陷的提交,修复,关闭等整个生命周期。广泛使用在开源项目中,例如 Apache Software Foundation, Linux kernel, LibreOffice, OpenOffice, OpenSSH, Eclipse, KDE, GNOME, 各种Linux发行版等。

Bugzilla在实现上存在信息泄露漏洞,如果新注释标识为内部组私有,并且设置了同一操作旗标,则注释内容会对非内部组旗标接收者可见,允许攻击者获取敏感信息。

<*来源:Check Point Software Technologies
        Simon Green
        Byron Jones
        James Kettle
        Netanel Rubin
        Frederic Buclin
        Matt Tyson
        David Lawrence
 
  链接:
 *>

建议:
厂商补丁:

Bugzilla
 --------
 Bugzilla已经为此发布了一个安全公告(4.0.14)以及相应补丁:
4.0.14:4.0.14, 4.2.10, 4.4.5, and 4.5.5 Security Advisory
链接:

补丁下载:

参考:https://bugzilla.mozilla.org/show_bug.cgi?id=1054702

Bugzilla 全系更新发布,修复重要漏洞 

Fedora 16 安装 Bugzilla 4.2

Bugzilla安装过程

Debian7&Ubuntu 13.10下配置Bugzilla

Bugzilla 的详细介绍请点这里
Bugzilla 的下载地址请点这里

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/31ff9b69f092bbf0ec283780c653ec52.html