发布日期:2012-08-31
更新日期:2012-09-04
受影响系统:
Bugzilla Bugzilla 4.x
Bugzilla Bugzilla 3.x
Bugzilla Bugzilla 2.x
描述:
--------------------------------------------------------------------------------
CVE ID: CVE-2012-3981
Bugzilla是一个开源的缺陷跟踪系统,它可以管理软件开发中缺陷的提交,修复,关闭等整个生命周期。
Bugzilla 中存在安全漏洞,可允许恶意用户泄露敏感信息或操作某些数据。
1)通过用户名传递的某些输入没有正确转义即用在LDAP查询中,可被利用注入LDAP语句。
此漏洞位于版本 2.12-3.6.10、3.7.1-4.0.7、4.1.1-4.2.2、4.3.1-4.3.2
2)应用没有限制目录访问扩展,可被利用泄露模板源代码。
此漏洞位于版本2.23.2-3.6.10、3.7.1-4.0.7、4.1.1-4.2.2、4.3.1-4.3.2
<*来源:Frédéric Buclin (LpSolit@gmail.com)
链接:
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Bugzilla
--------
Bugzilla已经为此发布了一个安全公告(3.6.10)以及相应补丁:
3.6.10:4.3.2, 4.2.2, 4.0.7, and 3.6.10 Security Advisory