三国策论坛

       找回密码
    登录  立即注册
搜索
查看: 866|回复: 1
打印 上一主题 下一主题

Mozilla Bugzilla HTML注入及信息泄露漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2007-02-07 09:24:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

Mozilla Bugzilla HTML注入及信息泄露漏洞


受影响系统:
Mozilla Bugzilla >= 2.20.1
Mozilla Bugzilla 2.23.3
不受影响系统:
Mozilla Bugzilla 2.23.4
Mozilla Bugzilla 2.22.2
Mozilla Bugzilla 2.20.4
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 22380

Bugzilla是很多软件项目都在使用的基于Web的bug跟踪系统。

Mozilla Bugzilla的几个功能模块实现上存在漏洞,远程攻击者可能利用这些漏洞非授权访问用户机器或获取敏感信息。

Bugzilla没有正确地转义一些Atom feed中所生成的字段,如果feed阅读器支持JavaScript且正确地实现了Atom feed规范的话,就可能导致执行跨站脚本。

Bugzilla所捆绑的mod_perl初始化脚本在包含有Bugzilla目录的Apache配置中定义了新的<Directory>块。该块导致.htaccess无法运行,这样攻击者可以通过浏览器读取包含有连接到数据库服务器所使用用户名和口令的localconfig文件。

<*来源:Frédéric Buclin (LpSolit@gmail.com)

链接:http://marc.theaimsgroup.com/?l=bugtraq&m=117052157325238&w=2
https://bugzilla.mozilla.org/show_bug.cgi?format=multiple&id=367071
https://bugzilla.mozilla.org/show_bug.cgi?format=multiple&id=367674
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.22.2.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.20.4.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.23.4.tar.gz

回复 引用

使用道具 举报

沙发
发表于 2007-02-07 11:46:00 | 只看该作者

不关联三国主题帖 10帖算一帖 计算好了

回复 支持 反对 引用

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

分享按钮
快速回复 返回顶部 返回列表