Múltiples vulnerabilidades en Bugzilla - xombra.com



Bugzilla ha anunciado un total de 7 vulnerabilidades que han sido solventadas en las nuevas versiones de su software. Entre ellas: ataques de Cross Site Sripting, inyección de cabeceras en correos electrónicos y/o revelación de información sensible.

Bugzilla es una aplicación web diseñada para crear un sistema de seguimiento de errores y se distribuye bajo la Licencia Pública de Mozilla. Esta aplicación es utilizada por un gran número de proyectos de software libre, entre los que se encuentran proyectos como Apache, Linux Kernel o Eclipse entre otros muchos.

Las vulnerabilidades corregidas son las siguientes:

* Dos ataques de Cross Site Scripting, uno de ellos podía ser explotado a través de un parche especialmente manipulado, que al ser visualizado en modo "Raw Unified" por algunos navegadores antiguos (como por ejemplo Internet Explorer 8 y anteriores y las versiones anteriores a Safari 5.0.6). El segundo, requería que la cookie BUGLIST fuera modificada para contener código HTML, que sería mostrado al ver el reporte de algún bug.

* Un usuario remoto autenticado podría averiguar si un grupo existe a través de una URL especialmente manipulada al crear o editar un bug, o realizando una búsqueda personalizada.

* La vulnerabilidad con el CVE CVE-2011-2381 podría permitir a un atacante remoto inyectar cabeceras en los correos 'flagmails' a través de un archivo adjunto especialmente manipulado que contuviese el carácter de nueva línea.

* Un usuario con acceso a la sesión del usuario que se desea atacar, podía modificar la dirección de correo utilizada para enviar correos electrónicos de para las confirmaciones (CVE-2011-2978).

* Por último, un usuario local podría tener acceso temporal a los archivos adjuntos a través de la vulnerabilidad con el CVE-2011-2977.

Todas estas vulnerabilidades han sido corregidas en las versiones 3.4.12, 3.6.6, 4.0.2 y 4.1.3 de Bugzilla.

Más Información:

4.1.2, 4.0.1, 3.6.5, and 3.4.11 Security Advisory
http://www.bugzilla.org/security/3.4.11/

Fuente:
Javier Rascón
http://www.hispasec.com



Otras noticias de interes:

 Apple Presenta Final Cut Pro 4
Una Actualización de Gran Importancia con más de 300 Características Nuevas que incluyen RT Extreme, LiveType, Soundtrack, Compressor y un Punto de Flotación Completo de 32-bit por Canal para el Procesamiento de Video.
 Fabricante de máquinas de voto electrónico reconoce ahora un error crítico presente desde hace diez años
La antigua Diebold (ahora reconvertida a Premier Election Solutions) acaba de reconocer un error crítico de programación en su sistema de voto electrónico, utilizado actualmente en 34 estados de EE.UU.
 Hablemos de Licencias GPL, BSD, LGPL y otros
Como están todos por aquí, hoy voy a hablar sobre algo que a mi parecer carece de la importancia que realmente merece en el mundo del software y la información, me refiero a las licencias sobre el cual son liberadas diferentes programas que solemos utilizar diariamente y de las múltiples posibilidades que nos brindan en cuanto al manejo de su código fuente como las limitaciones, usos, abusos, etc..
 Sality se suma a la vulnerabilidad LNK
Luego de las repercusiones sobre Stuxnet, explotando la vulnerabilidad CVE-2010-2568, a la cual se sumaron dos familias más (Win32/TrojanDownloader.Chymine.A y Win32/Autorun.VB.RP) y la incorporación del exploits a un crimeware (Zombie Explotation Kit), recientemente se ha descubierto otro código malicioso que utiliza esta debilidad para infectar los sistemas de información.
 Nueva versión de Firefox para cinco vulnerabilidades críticas
Mozilla ha anunciado el lanzamiento de nuevos parches para solventar las vulnerabilidades detectadas en su sistema operativo. Se trata de Firefox 3.0.12, una versión con la que la firma confía en resolver cinco agujeros de seguridad críticos y otras vulnerabilidades descubiertas en su sistema operativo.

Indique que busca!!!


Redes sociales

Agregame a tus círculos

Sigueme en Twitter

Agregame a tu lector de RSS



Categorías




blog roll


Nube de tags

  • múltiples

  • vulnerabilidades

  • bugzilla

  • xombra

  • ubuntu

  • linux

  • fedora

  • blog

  • web

  • internet

  • gentoo

  • debian

  • mint

  • gnu

  • sabayon

  • libre

  • fice

  • thunderbird

  • firefox

  • mozilla

  • vaslibre

  • tware

  • opensource

  • sl

  • centos

  • chrome

  • bug

  • noticia

  • tecnologia

  • computer

  • system

  • php

  • mysql