漏洞信息详情
Mozilla Bugzilla 'attachment.cgi和show_bug.cgi'敏感信息泄露漏洞
- CNNVD编号:CNNVD-200610-375
- 危害等级: 低危
- CVE编号: CVE-2006-5454
- 漏洞类型: 输入验证
- 发布时间: 2006-10-23
- 威胁类型: 远程
- 更新时间: 2006-10-24
- 厂 商: mozilla
- 漏洞来源: Max Kanat-Alexande...
漏洞简介
Bugzilla是很多软件项目都在使用的基于Web的bug跟踪系统。
Bugzilla中存在多个安全漏洞,具体如下:在diff模式中attachment.cgi,浏览附件时允许insidergroup中的用户读取所有附件的描述。此外,在以XML格式导出bug时非timetrackinggroup组的用户也可以看到deadline字段在show_bug.cgi中。攻击者可以获得敏感信息。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.22.1.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.18.6.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.20.3.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.23.3.tar.gz
参考网址
来源: bugzilla.mozilla.org
链接:https://bugzilla.mozilla.org/show_bug.cgi?id=346564
来源: bugzilla.mozilla.org
链接:https://bugzilla.mozilla.org/show_bug.cgi?id=346086
来源: BUGTRAQ
名称: 20061015 Security Advisory for Bugzilla 2.18.5, 2.20.2, 2.22, and 2.23.2
链接:http://www.securityfocus.com/archive/1/archive/1/448777/100/100/threaded
来源: VUPEN
名称: ADV-2006-4035
链接:http://www.frsirt.com/english/advisories/2006/4035
来源: SECTRACK
名称: 1017064
链接:http://securitytracker.com/id?1017064
来源: BID
名称: 20538
链接:http://www.securityfocus.com/bid/20538
来源: OSVDB
名称: 29547
链接:http://www.osvdb.org/29547
来源: OSVDB
名称: 29546
链接:http://www.osvdb.org/29546
来源: www.bugzilla.org
链接:http://www.bugzilla.org/security/2.18.5/
来源: SREASON
名称: 1760
链接:http://securityreason.com/securityalert/1760
来源: GENTOO
名称: GLSA-200611-04
链接:http://security.gentoo.org/glsa/glsa-200611-04.xml
来源: SECUNIA
名称: 22790
链接:http://secunia.com/advisories/22790
来源: SECUNIA
名称: 22409
链接:http://secunia.com/advisories/22409
受影响实体
- Mozilla Bugzilla:2.23.2
- Mozilla Bugzilla:2.23
- Mozilla Bugzilla:2.23.1
- Mozilla Bugzilla:2.22
- Mozilla Bugzilla:2.20:Rc2
补丁
暂无
评论