Boletines de Vulnerabilidades |
Recomendación de seguridad para Bugzilla |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Confidencialidad |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado |
Versión 2.12 hasta 3.6.10 Versión 3.7.1 a 4.0.7 Versión 4.1.1. a 4.2.2 Versión 4.3.1 a 4.3.3 |
Descripción |
|
Bugzilla es un software de servidor disseñado para ayudar a gestionar las tareas y la resolución de errores en el desarrollo de programas. Las vulnerabilidades reportadas son: - Cuando el usuario se autentica usando LDAP, un atacante podría inyectar comandos LDAP en el servidor. - Algunas extensiones no están protegidas contra la exploración de directorios por defecto, y un usuario malicioso puede ver el código fuente de las plantillas que utilizan estas extensiones. Dichas plantillas pueden contener datos sensibles. |
|
Solución |
|
Las soluciones están incluidas en las versiones 3.6.11, 4.0.8, 4.2.3, 4.3.3 . La actualización a una versión con las correcciones pertinentes protegen la instalación de posibles vulnerabilidades de estos temas. Para actualizar Bugzilla a nuevas versiones, las actualizaciones estan disponibles en : http://www.bugzilla.org/download/ |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CVE-2012-3981 CVE-2012-4747 |
BID | |
Recursos adicionales |
|
Bugzilla: https://bugzilla.mozilla.org/show_bug.cgi?id=785470 Bugzilla: https://bugzilla.mozilla.org/show_bug.cgi?id=785522 Bugzilla: https://bugzilla.mozilla.org/show_bug.cgi?id=785511 |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2012-09-12 |