Corregida vulnerabilidad en Bugzilla
Se han publicado nuevas versiones de Bugzilla para solucionar una nueva vulnerabilidad que podría permitir a atacantes remotos conseguir crear cuentas de usuario sin autorización.
Bugzilla es una herramienta de seguimiento de errores de código abierto, basada en web, y muy utilizada por empresas de desarrollo de software para sus proyectos. Además de la gestión de fallos y vulnerabilidades, también permite determinar la prioridad y severidad de los mismos, agregar comentarios y propuestas de solución, designar responsables para cada uno de ellos, enviar mensajes de correo para informar de un error, etc.
El problema (CVE-2015-4499) reside en que los nombres de usuario (habitualmente una dirección de correo) de más de 127 caracteres pueden corromperse al grabarse. Esto podría permitir a un atacante crear una cuenta con una cuenta de correo diferente a la solicitada originalmente. De esta forma, la cuenta de usuario puede añadirse de forma automática a grupos para los que el usuario no esté autorizado, basándose en la configuración de expresiones regulares del grupo.
La corrección para este problema se encuentra incluidas en las versiones 4.2.15, 4.4.10, 5.0.1, disponibles desde:
http://www.bugzilla.org/download/
Ver información original al respecto en Fuente:
http://unaaldia.hispasec.com/2015/09/corregida-vulnerabilidad-en-bugzilla.html
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.
Siguenos
en facebook
Los comentarios están cerrados.