Logo Web Xombra.com

Sitios Web Promocionados

Visitalos!

Xombra.com  - Seguridad Informatica!

Nube de TAGS

múltiples vulnerabilidades bugzilla xombra anunciado total han sido solventadas nuevas versiones software ataques cross site sripting inyección cabeceras correos electrónicos revelación información sensible

.:Categorías:.

Aniversarios (11) Apple (31) Bugs (1917) Exploits (26) Gnu/linux (804) Hack (505) Información (22) Microsoft Windows (189) Mozilla (117) Noticias (701) Opinion (325) Php (46) Seguridad (994) Virus Y Troyanos (737)

Múltiples vulnerabilidades en Bugzilla - xombra.com

Bugzilla ha anunciado un total de 7 vulnerabilidades que han sido solventadas en las nuevas versiones de su software. Entre ellas: ataques de Cross Site Sripting, inyección de cabeceras en correos electrónicos y/o revelación de información sensible.

Bugzilla es una aplicación web diseñada para crear un sistema de seguimiento de errores y se distribuye bajo la Licencia Pública de Mozilla. Esta aplicación es utilizada por un gran número de proyectos de software libre, entre los que se encuentran proyectos como Apache, Linux Kernel o Eclipse entre otros muchos.

Las vulnerabilidades corregidas son las siguientes:

* Dos ataques de Cross Site Scripting, uno de ellos podía ser explotado a través de un parche especialmente manipulado, que al ser visualizado en modo "Raw Unified" por algunos navegadores antiguos (como por ejemplo Internet Explorer 8 y anteriores y las versiones anteriores a Safari 5.0.6). El segundo, requería que la cookie BUGLIST fuera modificada para contener código HTML, que sería mostrado al ver el reporte de algún bug.

* Un usuario remoto autenticado podría averiguar si un grupo existe a través de una URL especialmente manipulada al crear o editar un bug, o realizando una búsqueda personalizada.

* La vulnerabilidad con el CVE CVE-2011-2381 podría permitir a un atacante remoto inyectar cabeceras en los correos 'flagmails' a través de un archivo adjunto especialmente manipulado que contuviese el carácter de nueva línea.

* Un usuario con acceso a la sesión del usuario que se desea atacar, podía modificar la dirección de correo utilizada para enviar correos electrónicos de para las confirmaciones (CVE-2011-2978).

* Por último, un usuario local podría tener acceso temporal a los archivos adjuntos a través de la vulnerabilidad con el CVE-2011-2977.

Todas estas vulnerabilidades han sido corregidas en las versiones 3.4.12, 3.6.6, 4.0.2 y 4.1.3 de Bugzilla.

Más Información:

4.1.2, 4.0.1, 3.6.5, and 3.4.11 Security Advisory
http://www.bugzilla.org/security/3.4.11/

Fuente:
Javier Rascón
http://www.hispasec.com



Publicado el: 10/08/2011
Por: Scorpiana
Visto: 352803 Veces


Imprimir PDF



- OTRAS NOTICIAS DE INTERES:


 Alerta!!! Gobierno de Venezuela, inicia plan mordaza en Internet.

 Los juegos online (ciberjuegos) en el punto de mira de los ciberdelincuentes

 www.defensivethinking.com ha sido víctima de un "deface" en el que podía leerse una nota que decía algo así como "Bienvenido al mundo de la libertad. Para que te sientas más cómodo hemos desfigurado tu web". ">¡KEVIN MITNICK HACKEADO!

 Descubre vulnerabilidad en PayPal y le expulsan

 Google parchea Chrome 11 de 27 vulnerabilidades