Višestruki propusti paketa Bugzilla

U radu programskog paketa Bugzilla uočeni su višestruki propusti koje je moguće iskoristiti za izvođenje XSS napada, umetanje posebno oblikovanih zaglavlja u email poruke, izmjenu podataka te otkrivanje osjetljivih informacija.

Paket:	bugzilla 3.x, bugzilla 4.x
Operacijski sustavi:	Fedora 16
Kritičnost:	3.7
Problem:	pogreška u programskoj komponenti, XSS
Iskorištavanje:	lokalno/udaljeno
Posljedica:	izmjena podataka, otkrivanje osjetljivih informacija, umetanje HTML i skriptnog koda
Rješenje:	programska zakrpa proizvođača
CVE:	CVE-2011-2379, CVE-2011-2380, CVE-2011-2979, CVE-2011-2381, CVE-2011-2978, CVE-2011-2977
Izvorni ID preporuke:	FEDORA-2011-10399
Izvor:	Fedora

Problem:
Bitniji su propusti posljedica XSS i tzv. "CRLF injection" ranjivosti. Za više detalja o svim propustima preporuča se čitanje izvorne preporuke.
Posljedica:
Napadač ih može iskoristiti za izvođenje XSS napada, umetanje posebno oblikovanih zaglavlja u email poruke, izmjenu podataka te otkrivanje osjetljivih podataka.
Rješenje:
Korisnicima se preporuča korištenje odgovarajućih zakrpa.

Izvorni tekst preporuke

--------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2011-10399
2011-08-05 20:05:37
--------------------------------------------------------------------------------

Name        : bugzilla
Product     : Fedora 16
Version     : 4.0.2
Release     : 1.fc16
URL         : http://www.bugzilla.org/
Summary     : Bug tracking system
Description :
Bugzilla is a popular bug tracking system used by multiple open source
projects
It requires a database engine installed - either MySQL, PostgreSQL or Oracle.
Without one of these database engines (local or remote), Bugzilla will not
work
- see the Release Notes for details.

--------------------------------------------------------------------------------
Update Information:

The Bugzilla developers have discovered a number of security bugs in Bugzilla.
These are CVE-2011-2379, CVE-2011-2380, CVE-2011-2979, CVE-2011-2381,
CVE-2011-2978, CVE-2011-2977.

This release fixes these bugs.
See http://www.bugzilla.org/security/3.4.11/ for all known details.
--------------------------------------------------------------------------------
References:

  [ 1 ] Bug #710142 - SELinux is preventing /usr/bin/perl from 'write' accesses
on the directory /usr/share/bugzilla/graphs.
        https://bugzilla.redhat.com/show_bug.cgi?id=710142
--------------------------------------------------------------------------------

This update can be installed with the "yum" update program.  Use 
su -c 'yum update bugzilla' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key.  More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
--------------------------------------------------------------------------------
_______________________________________________
package-announce mailing list
Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
https://admin.fedoraproject.org/mailman/listinfo/package-announce

Višestruki propusti paketa Bugzilla

Tražilica portala

Aktivnosti

O CIS-u

Posljednje vijesti

Posljednji dokumenti

Višestruki propusti paketa Bugzilla

Tražilica portala

Aktivnosti

O CIS-u

Posljednje sigurnosne preporuke

Posljednje vijesti

Popularni članci

Posljednji dokumenti