Prilikom upotrebe programskog paketa Bugzilla uočena su tri sigurnosna nedostatka. Riječ je o aplikaciji koja se koristi za praćenje pogrešaka u programskom kodu. Spomenuti propusti posljedica su neispravne provjere ulaznih podataka predanih putem različitih parametara datotekama chart.cgi i report.cgi, te pogrešaka u metodi "User.offer_account_by_email". Napadači ranjivosti mogu iskoristiti za pokretanje XSS (eng. Cross Site Scripting) napada te za kreiranje novih korisničkih računa. Svim se korisnicima savjetuje odgovarajuća nadogradnja.

Izvorni tekst preporuke

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2011-12-072
Naslov: Tri propusta programskog paketa Bugzilla
Datum: 2012-01-04
OS: Windows, Linux, UNIX
Programski paket: Bugzilla
Tip sigurnosnog problema: XSS napad
Rizik: Malen
_______________________________________________________________________________

[1]  Uvod

U radu programskog paketa Bugzilla uocena su tri sigurnosna propusta.

Bugzilla je aplikacija za pracenje pogresaka u programskom kodu koja se oslanja na 
MySQL ili PostgreSQL bazu podataka.

Bitnije od njezinih karakteristika su:

- pracenje pogresaka i promjena koda,
- komunikacija s clanovima tima,
- slanje i pregled zakrpa,
- upravljanje kvalitetom i dr.

Vise informacija dostupno je na sljedecoj web adresi:

http://www.bugzilla.org/about/

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Ranjivosti uocene u radu programskog paketa Bugzilla napadacima omogucuju zaobilazenje 
odredjenih sigurnosnih ogranicenja te umetanje skripti koje omogucuju izvodjenje 
XSS (eng. cross-site scripting) napada.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima savjetuje nadogradnja na inacice 3.4.13, 3.6.7, 4.0.3 ili 4.2.

-------------------------------------------------------------------------------

[4]  Analiza

* Ranjivost se javlja zbog pogresaka metode "User.offer_account_by_email". Vrijednosti 
"user_can_create_account" nisu ispravno provjeravane prije slanja korisnickog racuna. 
To se moze iskoristiti za kreiranje novih korisnickih racuna.

* Druga ranjivost javlja se kao posljedica nepravilne provjere ulaznih podataka prije vracanja korisniku. Radi se o podacima predanim preko parametra "label0" datoteci chart.cgi (kada je "debug" postavljen na "1"). Napadaci ranjivost mogu iskoristiti za 
pokretanje proizvoljnog HTML i skriptnog koda.

* Treca nepravilnost posljedica je neispravne provjere ulaznih podataka u skripti report.cgi. To se dogadja kada se mijenja Real Name podatak. Zlonamjerni napadaci propust mogu iskoristiti za umetanje proizvoljnog HTML i skriptnog koda u korisnikovom pregledniku u kontekstu posebno oblikovane web stranice za vrijeme pregledavanje zlonamjernih podataka.
 
-------------------------------------------------------------------------------

[5]  Credit

Informacije o propustima otkrili su:

1) Frédéric Buclin
2) RedTeam Pentesting i
3) Gervase Markham.

Tekstovi izvorne preporuke nalaze se na sljedecim adresama:

http://www.bugzilla.org/security/3.4.12/
https://bugzilla.mozilla.org/show_bug.cgi?id=697699 i
https://bugzilla.mozilla.org/show_bug.cgi?id=711714.

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________