Múltiples vulnerabilidades en Bugzilla - xombra.com



Bugzilla ha anunciado un total de 7 vulnerabilidades que han sido solventadas en las nuevas versiones de su software. Entre ellas: ataques de Cross Site Sripting, inyección de cabeceras en correos electrónicos y/o revelación de información sensible.

Bugzilla es una aplicación web diseñada para crear un sistema de seguimiento de errores y se distribuye bajo la Licencia Pública de Mozilla. Esta aplicación es utilizada por un gran número de proyectos de software libre, entre los que se encuentran proyectos como Apache, Linux Kernel o Eclipse entre otros muchos.

Las vulnerabilidades corregidas son las siguientes:

* Dos ataques de Cross Site Scripting, uno de ellos podía ser explotado a través de un parche especialmente manipulado, que al ser visualizado en modo "Raw Unified" por algunos navegadores antiguos (como por ejemplo Internet Explorer 8 y anteriores y las versiones anteriores a Safari 5.0.6). El segundo, requería que la cookie BUGLIST fuera modificada para contener código HTML, que sería mostrado al ver el reporte de algún bug.

* Un usuario remoto autenticado podría averiguar si un grupo existe a través de una URL especialmente manipulada al crear o editar un bug, o realizando una búsqueda personalizada.

* La vulnerabilidad con el CVE CVE-2011-2381 podría permitir a un atacante remoto inyectar cabeceras en los correos 'flagmails' a través de un archivo adjunto especialmente manipulado que contuviese el carácter de nueva línea.

* Un usuario con acceso a la sesión del usuario que se desea atacar, podía modificar la dirección de correo utilizada para enviar correos electrónicos de para las confirmaciones (CVE-2011-2978).

* Por último, un usuario local podría tener acceso temporal a los archivos adjuntos a través de la vulnerabilidad con el CVE-2011-2977.

Todas estas vulnerabilidades han sido corregidas en las versiones 3.4.12, 3.6.6, 4.0.2 y 4.1.3 de Bugzilla.

Más Información:

4.1.2, 4.0.1, 3.6.5, and 3.4.11 Security Advisory
http://www.bugzilla.org/security/3.4.11/

Fuente:
Javier Rascón
http://www.hispasec.com



Otras noticias de interes:

 seguridad integrada para las estaciones de trabajo
La complejidad de las amenazas a la infraestructura de TI empresarial está aumentando. De igual manera, cada vez más personas trabajan fuera de la oficina, bien sea desde la casa o en la calle.
 Vulnerabilidad en iPhone: Hotspot Hijacking
La nueva versión del software del iPhone 3.0 inicia de forma automática el Safari en determinadas circunstancias cuando se conecta a una red Wi-Fi.
 El peligro de lo gratuito en Internet
¿Está buscando cosas gratuitas en Internet? Sea cauto con lo que encuentra. Ese es el mensaje de la firma de seguridad SiteAdvisor, basado en un análisis realizado por el Wall Street Journal sobre datos supuestamente liberados accidentalmente por America Online (AOL).
 ONO prohibe a sus clientes ver Infohackers.org
Despúés del asunto del proxy de Telefónica y Terra, los usuarios están comenzado a descubrir la presencia de proxies en sus conexiones a Internet. Ahora le ha tocado el turno a ONO y Retecal. Sin embargo, en el caso del primero la cosa se agrava, ya que esta operadora ha decidido filtrar páginas web decidiendo por sus clientes qué es bueno para ellos o no. Por ejemplo, los clientes de ONO no pueden ver esta página web (se entiende www.infohackers.org), ya que la han prohibido en el filtro de su proxy. Situaciones como ésta nos recuerdan a la de países como Cuba, Arabia Saudí o China, en donde el poder decide qué es lo más adecuado para sus conciudadanos. Lo próximo será la policía del pensamiento de George Orwell.
 Nuevo troyano para Mac OS X enmascarado en un PDF
Ha aparecido un nuevo troyano para Mac OS X enmascarado en un archivo PDF. El troyano se conecta a un servidor externo pera descargar un software que abre una puerta trasera en el ordenador. El supuesto PDF de ehcho muestra texto para engañar a los usuarios que lo abren y que no reciben ninguna notificación real de lo que está ocurriendo. El actual troyano muestra texto en chino, pero puede cualquier tipo de PDF. Dentro te contamos como identificarlo con relativa facilidad.

Indique que busca!!!


Redes sociales

Agregame a tus círculos

Sigueme en Twitter

Agregame a tu lector de RSS



Categorías




blog roll


Nube de tags

  • múltiples

  • vulnerabilidades

  • bugzilla

  • xombra

  • ubuntu

  • linux

  • fedora

  • blog

  • web

  • internet

  • gentoo

  • debian

  • mint

  • gnu

  • sabayon

  • libre

  • fice

  • thunderbird

  • firefox

  • mozilla

  • vaslibre

  • tware

  • opensource

  • sl

  • centos

  • chrome

  • bug

  • noticia

  • tecnologia

  • computer

  • system

  • php

  • mysql