Bugzilla LDAP注入和模板泄露漏洞
Bugzilla LDAP注入和模板泄露漏洞
发布日期:2012-08-31
更新日期:2012-09-04
受影响系统:
Bugzilla Bugzilla 4.x
Bugzilla Bugzilla 3.x
Bugzilla Bugzilla 2.x
描述:
--------------------------------------------------------------------------------
CVE ID: CVE-2012-3981
Bugzilla是一个开源的缺陷跟踪系统,它可以管理软件开发中缺陷的提交,修复,关闭等整个生命周期。
Bugzilla 中存在安全漏洞,可允许恶意用户泄露敏感信息或操作某些数据。
1)通过用户名传递的某些输入没有正确转义即用在LDAP查询中,可被利用注入LDAP语句。
此漏洞位于版本 2.12-3.6.10、3.7.1-4.0.7、4.1.1-4.2.2、4.3.1-4.3.2
2)应用没有限制目录访问扩展,可被利用泄露模板源代码。
此漏洞位于版本2.23.2-3.6.10、3.7.1-4.0.7、4.1.1-4.2.2、4.3.1-4.3.2
<*来源:Frédéric Buclin (LpSolit@gmail.com)
链接:http://secunia.com/advisories/50433/
http://www.bugzilla.org/security/3.6.10/
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Bugzilla
--------
Bugzilla已经为此发布了一个安全公告(3.6.10)以及相应补丁:
3.6.10:4.3.2, 4.2.2, 4.0.7, and 3.6.10 Security Advisory
链接:http://www.bugzilla.org/security/3.6.10/
评论暂时关闭