You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-841

[Generic/Bugzilla] Mehrere Schwachstellen in Bugzilla
(2002-06-12 07:20:05.176916+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2002/06/msg00070.html

Mehrere Schwachstellen mit unterschiedlichem Gefahrenpotential wurden jüngst im Bug-Tracking-Werkzeug Bugzilla behoben.

Betroffene Systeme

  • Bugzilla 2.14 vor 2.14.2
  • Bugzilla 2.16 vor 2.16rc2
  • Möglicherweise sind Bugzilla-Derivate von den Schwachstellen ebenfalls betroffen.

Einfallstor
Nutzung der Bugzilla-Webschnittstelle. Teilweise ist eine Authentifizierung nötig.

Auswirkung
Angreifer können Cookies von Benutzern entwenden und so die Authentifizierung unterwandern (cross-site scripting). Ferner können möglicherweise Benutzer-Accounts gelöscht werden (denial of service). Außerdem könnte beliebiger SQL-Code ausgeführt werden.

Typ der Verwundbarkeit
cross-site scripting. Denial of Service und eventuell SQL injection.

Gefahrenpotential
mittel bis hoch (letzteres, falls SQL-Injektion möglich sein sollte).
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Neue Versionen von Bugzilla beheben zahlreiche sicherheitsrelevante Probleme:

  • Namen von Benutzern wurden von der Web-Schnitstelle ungefiltert angezeigt, was cross-site scripting und damit Angriffe auf zur Authentifizierung verwendete Cookies erlaubte.
  • Nicht dazu autorisierte Benutzer können unter Umständen Accounts anderer Benutzer löschen.
  • Als vertraulich eingestufte Information kann eventuell nicht autorisierten Benutzern angezeigt werden.
  • Möglicherweise sind SQL-Injektionsangriffe möglich, womit ein Benutzer ungefilterten Zugriff auf die zugrundeliegende Datenbank erhalten würde (mit denselben Rechten wie die Bugzilla-Software).
  • Diverse, kleinere Schwachstellen wurden ebenfalls behoben.
Auch wenn die Gewißheit fehlt, daß diese Schwachstellen tatsächlich zu größeren Schäden fúhren können, sollte trotzdem ein Update auf eine aktuelle Version vorgenommen werden.

Gegenmaßnahmen

  • Upgrade auf Bugzilla 2.14.2 bzw 2.16rc2.

Vulnerability IDs

Weitere Information zu diesem Thema

Revisionen dieser Meldung

  • V.1.0 (2002-06-12)
  • V.1.1 (2002-08-22) Red-Hat-Advisory aufgenommen
(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.