|
阅读:675回复:0
Bugzilla存在多个漏洞
Bugzilla存在多个漏洞
发布时间:2003-10-04 更新时间:2003-11-04 严重程度:中 威胁程度:服务器信息泄露 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:8953 受影响系统 Mozilla Bugzilla 2.4 Mozilla Bugzilla 2.6 Mozilla Bugzilla 2.8 - Microsoft Windows 95 - Microsoft Windows 98 - Microsoft Windows NT 3.5.1 - Microsoft Windows NT 4.0 Mozilla Bugzilla 2.10 Mozilla Bugzilla 2.12 Mozilla Bugzilla 2.14 - RedHat Linux 7.0 - RedHat Linux 7.1 Mozilla Bugzilla 2.14.1 Mozilla Bugzilla 2.14.2 + Debian Linux 3.0 + Debian Linux 3.0 alpha + Debian Linux 3.0 arm + Debian Linux 3.0 hppa + Debian Linux 3.0 ia-32 + Debian Linux 3.0 ia-64 + Debian Linux 3.0 m68k + Debian Linux 3.0 mips + Debian Linux 3.0 mipsel + Debian Linux 3.0 ppc + Debian Linux 3.0 s/390 + Debian Linux 3.0 sparc Mozilla Bugzilla 2.14.3 Mozilla Bugzilla 2.14.4 Mozilla Bugzilla 2.14.5 Mozilla Bugzilla 2.16 - MandrakeSoft Linux Mandrake 9.0 Mozilla Bugzilla 2.16.1 Mozilla Bugzilla 2.16.2 + Conectiva Linux 9.0 Mozilla Bugzilla 2.16.3 Mozilla Bugzilla 2.17.1 Mozilla Bugzilla 2.17.3 Mozilla Bugzilla 2.17.4 详细描述 Bugzilla是基于WEB的漏洞更关系同。 其中包含多个SQL注入和信息泄露问题,具体问题如下: 1,拥有'editproducts'权限的用户可以选择任意SQL给特殊的产品名参数由CRON JOB来执(collectstats.pl)。 2,拥有editkeywords'权限用户可以通过用于编辑关键词的URL来插入任意SQL。 3,如果知道POST安全漏洞作者的EMAIL地址,就可以在没有访问权限的情况下访问漏洞信息。 4,在部分情况下,用户可以访问本来不能访问的产品描述信息。 解决方案 升级程序: Mozilla Bugzilla 2.4: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Mozilla Bugzilla 2.6: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Mozilla Bugzilla 2.8: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Mozilla Bugzilla 2.10: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Mozilla Bugzilla 2.12: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Mozilla Bugzilla 2.14: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Mozilla Bugzilla 2.14.1: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Mozilla Bugzilla 2.14.2: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Mozilla Bugzilla 2.14.3: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Mozilla Bugzilla 2.14.4: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Mozilla Bugzilla 2.14.5: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Mozilla Bugzilla 2.16: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Mozilla Bugzilla 2.16.1: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Mozilla Bugzilla 2.16.2: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Mozilla Bugzilla 2.16.3: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Conectiva Upgrade bugzilla-2.16.4-29154U90_1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/9/RPMS/bugzilla-2.16.4-29154U90_1cl.i386.rpm Conectiva Upgrade bugzilla-doc-2.16.4-29154U90_1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/9/RPMS/bugzilla-doc-2.16.4-29154U90_1cl.i386.rpm Mozilla Bugzilla 2.17.1: Mozilla Upgrade bugzilla-2.17.5.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.17.5.tar.gz Mozilla Bugzilla 2.17.3: Mozilla Upgrade bugzilla-2.17.5.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.17.5.tar.gz Mozilla Bugzilla 2.17.4: Mozilla Upgrade bugzilla-2.17.5.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.17.5.tar.gz 相关信息 Bradley Baetz, Ryan Cleary, Andrew Eross, Vlad Dascalu, and Stefan Mayr. 参考:http://www.securityfocus.com/archive/1/343185 相关主页:http://www.bugzilla.org/ |
|
|
