Bugzilla命令注入及安全限制绕过漏洞
Bugzilla命令注入及安全限制绕过漏洞
发布日期:2014-10-20
更新日期:2015-01-27
受影响系统:
Bugzilla Bugzilla
描述:
CVE(CAN) ID: CVE-2014-8630
Bugzilla是一个开源的缺陷跟踪系统。
Bugzilla没有正确过滤某些输入,这可导致注入并执行任意shell命令,要成功利用此漏洞需要 "editcomponents" 权限;WebServices模块没有正确限制XML及JSON APIs内的API方法,这可导致访问受限制功能。
<*来源:John Lightsey (john@nixnuts.net)
链接:http://secunia.com/advisories/62458/
*>
建议:
厂商补丁:
Bugzilla
--------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
Bugzilla:
http://www.bugzilla.org/security/4.0.15/
John Lightsey:
https://bugzilla.mozilla.org/show_bug.cgi?id=1079065
David Lawrence:
https://bugzilla.mozilla.org/show_bug.cgi?id=1090275
Bugzilla 全系更新发布,修复重要漏洞
Fedora 16 安装 Bugzilla 4.2
Bugzilla安装过程
Debian7&Ubuntu 13.10下配置Bugzilla
Bugzilla 的详细介绍:请点这里
Bugzilla 的下载地址:请点这里
本文永久更新链接地址:
评论暂时关闭