Múltiples vulnerabilidades en Bugzilla - xombra.com



Bugzilla ha anunciado un total de 7 vulnerabilidades que han sido solventadas en las nuevas versiones de su software. Entre ellas: ataques de Cross Site Sripting, inyección de cabeceras en correos electrónicos y/o revelación de información sensible.

Bugzilla es una aplicación web diseñada para crear un sistema de seguimiento de errores y se distribuye bajo la Licencia Pública de Mozilla. Esta aplicación es utilizada por un gran número de proyectos de software libre, entre los que se encuentran proyectos como Apache, Linux Kernel o Eclipse entre otros muchos.

Las vulnerabilidades corregidas son las siguientes:

* Dos ataques de Cross Site Scripting, uno de ellos podía ser explotado a través de un parche especialmente manipulado, que al ser visualizado en modo "Raw Unified" por algunos navegadores antiguos (como por ejemplo Internet Explorer 8 y anteriores y las versiones anteriores a Safari 5.0.6). El segundo, requería que la cookie BUGLIST fuera modificada para contener código HTML, que sería mostrado al ver el reporte de algún bug.

* Un usuario remoto autenticado podría averiguar si un grupo existe a través de una URL especialmente manipulada al crear o editar un bug, o realizando una búsqueda personalizada.

* La vulnerabilidad con el CVE CVE-2011-2381 podría permitir a un atacante remoto inyectar cabeceras en los correos 'flagmails' a través de un archivo adjunto especialmente manipulado que contuviese el carácter de nueva línea.

* Un usuario con acceso a la sesión del usuario que se desea atacar, podía modificar la dirección de correo utilizada para enviar correos electrónicos de para las confirmaciones (CVE-2011-2978).

* Por último, un usuario local podría tener acceso temporal a los archivos adjuntos a través de la vulnerabilidad con el CVE-2011-2977.

Todas estas vulnerabilidades han sido corregidas en las versiones 3.4.12, 3.6.6, 4.0.2 y 4.1.3 de Bugzilla.

Más Información:

4.1.2, 4.0.1, 3.6.5, and 3.4.11 Security Advisory
http://www.bugzilla.org/security/3.4.11/

Fuente:
Javier Rascón
http://www.hispasec.com



Otras noticias de interes:

 Disponible PostgreSQL 9.0
Ya se puede leer en PostgreSQL-es.org que se acaba de lanzar una nueva versión de su sistema de gestión de bases de datos, PostgreSQL 9.0.
 Facebook, acusada de violar ley de escuchas telefónicas en EEUU
La noticia llega a través de la demanda interpuesta por una mujer en Estados Unidos, la cual acusa a la red social de violar las leyes federales sobre escuchas telefónicas. La mujer argumenta que Facebook ha llevado a cabo un seguimiento de su historial de navegación en la red incluso cuando no estaba conectada a la red social.
 Phishing que agrega malwares a su PC
Una de las más famosas herramientas para construir sitios dedicados al phishing, se llama Rock Phish ( es una antigua banda de asaltantes especializada en robos por Internet). La misma se destaca por la facilidad de crear sitios que tengan toda la apariencia de una página profesional. Pero ahora, la misma también es capaz de agregar malware a su arsenal.
 Reto de hacking en Navidad
Ed Skoudis, coautor de Counter Hack Reloaded, acaba de publicar en su web un curioso reto de hacking relacionado con la época navideña.
 Un software determina el estado de ánimo de las personas en tiempo real
Informáticos alemanes del Fraunhofer Institute for Integrated Circuits (IIS) han desarrollando un software que reconoce el estado de ánimo de las personas. Mediante una cámara de vídeo, el software se fija en los cambios producidos en ciertas partes de nuestro rostro (ojos, cejas o nariz) para reconocer cómo nos encontramos en tiempo real. Por el momento, es capaz de determinar si quien está frente a la cámara de vídeo es un hombre o una mujer y si está triste o alegre. Las primeras aplicaciones serán con toda probabilidad en el mundo de la publicidad, donde conocer cómo reacciona el consumidor ante, por ejemplo, un cartel, es determinante.

Indique que busca!!!


Redes sociales

Agregame a tus círculos

Sigueme en Twitter

Agregame a tu lector de RSS



Categorías




blog roll


Nube de tags

  • múltiples

  • vulnerabilidades

  • bugzilla

  • xombra

  • ubuntu

  • linux

  • fedora

  • blog

  • web

  • internet

  • gentoo

  • debian

  • mint

  • gnu

  • sabayon

  • libre

  • fice

  • thunderbird

  • firefox

  • mozilla

  • vaslibre

  • tware

  • opensource

  • sl

  • centos

  • chrome

  • bug

  • noticia

  • tecnologia

  • computer

  • system

  • php

  • mysql