漏洞信息详情
Bugzilla Data/Mining目录权限不安全漏洞
- CNNVD编号:CNNVD-200301-021
- 危害等级: 低危
- CVE编号: CVE-2003-0012
- 漏洞类型: 配置错误
- 发布时间: 2003-01-17
- 威胁类型: 本地
- 更新时间: 2005-05-13
- 厂 商: mozilla
- 漏洞来源: David Miller※ just...
漏洞简介
Bugzilla是美国Mozilla基金会开发的一套开源的缺陷跟踪系统,它可管理软件开发中缺陷的提交(new)、修复(resolve)、关闭(close)等整个生命周期。 Bugzilla提供的数据收集脚本不正确设置data/mining目录权限,本地攻击者可以利用这个漏洞更改或删除收集的数据。 数据收集脚本以cron作业方式工作,每次起运行的时候会更改data/mining目录为全局可写,利用这段时间本地用户可以更改data/mining目录中的任意收集数据。
漏洞公告
厂商补丁: Mozilla ------- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
Mozilla Bugzilla 2.14:
Bugzilla Upgrade Bugzilla 2.14.5
http://www.bugzilla.org/download.HTML
Mozilla Bugzilla 2.14.1:
Bugzilla Upgrade Bugzilla 2.14.5
http://www.bugzilla.org/download.HTML
Mozilla Bugzilla 2.14.2:
Bugzilla Upgrade Bugzilla 2.14.5
http://www.bugzilla.org/download.HTML
Mozilla Bugzilla 2.14.3:
Bugzilla Upgrade Bugzilla 2.14.5
http://www.bugzilla.org/download.HTML
Mozilla Bugzilla 2.14.4:
Bugzilla Upgrade Bugzilla 2.14.5
http://www.bugzilla.org/download.HTML
Bugzilla Patch bugzilla-2.14.4-to-2.14.5.diff.gz
http://ftp.mozilla.org/pub/webtools/bugzilla-2.14.4-to-2.14.5.diff.gz
Mozilla Bugzilla 2.16:
Bugzilla Upgrade Bugzilla 2.16.2
http://www.bugzilla.org/download.HTML
Mozilla Bugzilla 2.16.1:
Bugzilla Upgrade Bugzilla 2.16.2
http://www.bugzilla.org/download.HTML
Bugzilla Patch bugzilla-2.16.1-to-2.16.2.diff.gz
http://ftp.mozilla.org/pub/webtools/bugzilla-2.16.1-to-2.16.2.diff.gz
Mozilla Bugzilla 2.17:
Bugzilla Upgrade Bugzilla 2.17.3
http://www.bugzilla.org/download.HTML
Mozilla Bugzilla 2.17.1:
Bugzilla Upgrade Bugzilla 2.17.3
http://www.bugzilla.org/download.HTML
参考网址
来源: BUGTRAQ 名称: 20030102 [BUGZILLA] Security Advisory - remote database password disclosure 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=104154319200399&w=2 来源: XF 名称: bugzilla-mining-world-writable(10971) 链接:http://www.iss.net/security_center/static/10971.php 来源: BID 名称: 6502 链接:http://www.securityfocus.com/bid/6502 来源: REDHAT 名称: RHSA-2003:012 链接:http://www.redhat.com/support/errata/RHSA-2003-012.HTML 来源: DEBIAN 名称: DSA-230 链接:http://www.debian.org/security/2003/dsa-230
受影响实体
- Mozilla Bugzilla:2.17.1
- Mozilla Bugzilla:2.17
- Mozilla Bugzilla:2.16.1
- Mozilla Bugzilla:2.16
- Mozilla Bugzilla:2.14.4
补丁
暂无
评论