Múltiples vulnerabilidades en Bugzilla - xombra.com



Bugzilla ha anunciado un total de 7 vulnerabilidades que han sido solventadas en las nuevas versiones de su software. Entre ellas: ataques de Cross Site Sripting, inyección de cabeceras en correos electrónicos y/o revelación de información sensible.

Bugzilla es una aplicación web diseñada para crear un sistema de seguimiento de errores y se distribuye bajo la Licencia Pública de Mozilla. Esta aplicación es utilizada por un gran número de proyectos de software libre, entre los que se encuentran proyectos como Apache, Linux Kernel o Eclipse entre otros muchos.

Las vulnerabilidades corregidas son las siguientes:

* Dos ataques de Cross Site Scripting, uno de ellos podía ser explotado a través de un parche especialmente manipulado, que al ser visualizado en modo "Raw Unified" por algunos navegadores antiguos (como por ejemplo Internet Explorer 8 y anteriores y las versiones anteriores a Safari 5.0.6). El segundo, requería que la cookie BUGLIST fuera modificada para contener código HTML, que sería mostrado al ver el reporte de algún bug.

* Un usuario remoto autenticado podría averiguar si un grupo existe a través de una URL especialmente manipulada al crear o editar un bug, o realizando una búsqueda personalizada.

* La vulnerabilidad con el CVE CVE-2011-2381 podría permitir a un atacante remoto inyectar cabeceras en los correos 'flagmails' a través de un archivo adjunto especialmente manipulado que contuviese el carácter de nueva línea.

* Un usuario con acceso a la sesión del usuario que se desea atacar, podía modificar la dirección de correo utilizada para enviar correos electrónicos de para las confirmaciones (CVE-2011-2978).

* Por último, un usuario local podría tener acceso temporal a los archivos adjuntos a través de la vulnerabilidad con el CVE-2011-2977.

Todas estas vulnerabilidades han sido corregidas en las versiones 3.4.12, 3.6.6, 4.0.2 y 4.1.3 de Bugzilla.

Más Información:

4.1.2, 4.0.1, 3.6.5, and 3.4.11 Security Advisory
http://www.bugzilla.org/security/3.4.11/

Fuente:
Javier Rascón
http://www.hispasec.com



Otras noticias de interes:

 5 de los 10 virus más peligrosos afectan a Java
Todos los meses G Data SecurityLabs publica un ranking con los 10 virus más peligrosos. En el informe de junio, Java sigue siendo el principal problema de seguridad, ya que 5 de las 10 amenazas más repetidas le afectan directamente.
 Google+ su primer fallo de seguridad
Google prepara el arreglo de un bug en su red social relacionado con la función de volver a compartir, que permite hacer públicos todos los mensajes aunque su autor no quiera. Google ya está trabajando en una solución para un agujero de privacidad encontrado en su recién estrenada red social y que está relacionado con la función de volver a compartir.
 FREESPIRE, La versión opensource de LINSPIRE
Es sin duda la noticia del mes. Linspire, el que sin duda es el mejor sistema operativo del mundo en el ámbito Linux, tendrá su propia versión open source, cuyo nombre oficial será Freespire. Así lo ha anunciado Kevin Carmony, Presidente y CEO de Linspire, durante el transcurso del 4th Annual Desktop Linux Summit, en San Diego.
 Criptografía cuántica, Service Pack 1
En este artículo pretendo reflexionar sobre algunos riesgos de seguridad que pueden afectar a la criptografía cuántica, algo que tenia pendiente desde hace algún tiempo y que por diversos motivos no había podido hacer hasta ahora por falta de tiempo material. No es más que un poco de ciencia ficción, pero muy real, ya que se basa en los últimos avances en criptografía y mecánica cuánticas...
 Inyección SQL en Joomla 1.6
Ha sido publicada una vulnerabilidad de inyección SQL que afecta a la rama 1.6.0 del popular gestor de contenidos Joomla. El fallo ha sido descubierto por Aung Khant que forma parte de YGN Ethical Hacker Group.

Indique que busca!!!


Redes sociales

Agregame a tus círculos

Sigueme en Twitter

Agregame a tu lector de RSS



Categorías




blog roll


Nube de tags

  • múltiples

  • vulnerabilidades

  • bugzilla

  • xombra

  • ubuntu

  • linux

  • fedora

  • blog

  • web

  • internet

  • gentoo

  • debian

  • mint

  • gnu

  • sabayon

  • libre

  • fice

  • thunderbird

  • firefox

  • mozilla

  • vaslibre

  • tware

  • opensource

  • sl

  • centos

  • chrome

  • bug

  • noticia

  • tecnologia

  • computer

  • system

  • php

  • mysql