pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#1 Bugzilla安全问题和多个漏洞
来源
secunia.com
软件名
Bugzilla 2.x
Bugzilla 3.x
描述
1)返回用户前在导航表处理BUG时输入的"buildid"参数没有被准确地过滤,这可用来在用户浏览器会话时被影响的网址文本中执行任意HTML和脚本代码在V2.17.1或最新的版本中已经报告
2)"Email::Send::Sendmail()"函数没有准确过滤Bugzilla's "from"稍后传递到sendmail的参数为"-f"的邮件信息,这可通过一个特定的"from"设置来注入壳命令
在V2.23.4或最新的版本已经报告
3)The security issue is reported in version 2.23.3 and above.
Bugzilla的XML-RPC接口允许泄漏特定的没有正确访问time-tracking field的time-tracking 信息在V2.23.3或以上的版本已经报告过这个问题安全问题在version 2.23.3和以上的版本已经报告
解决方案
升级到修复的版本
Bugzilla 2.20.x:
更新到 version 2.20.5.
Bugzilla 2.22.x:
更新到 version 2.22.3.
Bugzilla 3.0:
更新到 version 3.0.1.
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|