Bugzilla时间追踪功能信息泄露漏洞

文章由LinuxBoy分享于2019-04-02 11:04:36热评（543）

Bugzilla时间追踪功能信息泄露漏洞

发布日期：2010-06-25
更新日期：2010-06-28

受影响系统：
Mozilla Bugzilla 3.x
Mozilla Bugzilla 2.x
不受影响系统：
Mozilla Bugzilla 3.7.1
Mozilla Bugzilla 3.6.1
Mozilla Bugzilla 3.4.7
Mozilla Bugzilla 3.2.7
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 41141
CVE ID: CVE-2010-1204

Bugzilla是很多软件项目都在使用的基于Web的BUG跟踪系统。

正常情况下有关时间追踪（估计时间、实际时间、已工作时间、截止日期等）的信息应仅限于time-tracking组中的用户可访问，但用户可以通过创建搜索URL使用上述字段搜索bug。如果bug匹配到了搜索，就可以获取有关时间追踪的敏感信息。

<*来源：Teemu Mannermaa

链接：http://secunia.com/advisories/40300/
http://www.bugzilla.org/security/3.2.6/
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.bugzilla.org/download/

推荐文章：

Bugzilla时间追踪功能信息泄露漏洞