漏洞信息详情
Bugzilla LocalConfig配置文件远程泄露漏洞
- CNNVD编号:CNNVD-200301-018
- 危害等级: 高危
- CVE编号: CVE-2003-0013
- 漏洞类型: 配置错误
- 发布时间: 2003-01-17
- 威胁类型: 远程
- 更新时间: 2005-05-13
- 厂 商: mozilla
- 漏洞来源: David Miller※ just...
漏洞简介
Bugzilla是美国Mozilla基金会开发的一套开源的缺陷跟踪系统,它可管理软件开发中缺陷的提交(new)、修复(resolve)、关闭(close)等整个生命周期。 Bugzilla中默认.htaccess脚本没有正确防止用户对localconfig备份文件的访问,远程攻击者可以利用这个漏洞获得敏感信息,包括数据库密码。 由checksetup.pl提供的.htaccess脚本,没有正确防止远程攻击者对localconfig备份文件的访问,如果用户使用了vi或者emacs编辑localconfig文件后,会建立.swp或者~suffix文件,这些文件可以直接被任何用户访问下载,并可能获得Bugzilla使用的数据库密码信息。
漏洞公告
厂商补丁: Mozilla ------- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
Mozilla Bugzilla 2.14:
Bugzilla Upgrade Bugzilla 2.14.5
http://www.bugzilla.org/download.HTML
Mozilla Bugzilla 2.14.1:
Bugzilla Upgrade Bugzilla 2.14.5
http://www.bugzilla.org/download.HTML
Mozilla Bugzilla 2.14.2:
Bugzilla Upgrade Bugzilla 2.14.5
http://www.bugzilla.org/download.HTML
Mozilla Bugzilla 2.14.3:
Bugzilla Upgrade Bugzilla 2.14.5
http://www.bugzilla.org/download.HTML
Mozilla Bugzilla 2.14.4:
Bugzilla Upgrade Bugzilla 2.14.5
http://www.bugzilla.org/download.HTML
Bugzilla Patch bugzilla-2.14.4-to-2.14.5.diff.gz
http://ftp.mozilla.org/pub/webtools/bugzilla-2.14.4-to-2.14.5.diff.gz
Mozilla Bugzilla 2.16:
Bugzilla Upgrade Bugzilla 2.16.2
http://www.bugzilla.org/download.HTML
Mozilla Bugzilla 2.16.1:
Bugzilla Upgrade Bugzilla 2.16.2
http://www.bugzilla.org/download.HTML
Bugzilla Patch bugzilla-2.16.1-to-2.16.2.diff.gz
http://ftp.mozilla.org/pub/webtools/bugzilla-2.16.1-to-2.16.2.diff.gz
Mozilla Bugzilla 2.17:
Bugzilla Upgrade Bugzilla 2.17.3
http://www.bugzilla.org/download.HTML
Mozilla Bugzilla 2.17.1:
Bugzilla Upgrade Bugzilla 2.17.3
http://www.bugzilla.org/download.HTML
参考网址
来源: DEBIAN 名称: DSA-230 链接:http://www.debian.org/security/2003/dsa-230 来源: BUGTRAQ 名称: 20030102 [BUGZILLA] Security Advisory - remote database password disclosure 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=104154319200399&w=2 来源: BID 名称: 6501 链接:http://www.securityfocus.com/bid/6501 来源: OSVDB 名称: 6351 链接:http://www.osvdb.org/6351 来源: XF 名称: bugzilla-htaccess-database-password(10970) 链接:http://www.iss.net/security_center/static/10970.php
受影响实体
- Mozilla Bugzilla:2.17.1
- Mozilla Bugzilla:2.17
- Mozilla Bugzilla:2.16.1
- Mozilla Bugzilla:2.16
- Mozilla Bugzilla:2.14.4
补丁
暂无
评论