漏洞信息详情
Mozilla Bugzilla多个跨站请求伪造漏洞
- CNNVD编号:CNNVD-201101-385
- 危害等级: 中危
- CVE编号: CVE-2011-0046
- 漏洞类型: 跨站请求伪造
- 发布时间: 2011-01-30
- 威胁类型: 远程
- 更新时间: 2011-02-11
- 厂 商: mozilla
- 漏洞来源: ');">Willem PinckaersMa...
漏洞简介
Bugzilla是美国Mozilla基金会开发的一套开源的缺陷跟踪系统,它可管理软件开发中缺陷的提交(new)、修复(resolve)、关闭(close)等整个生命周期。
Bugzilla 3.2.10之前版本,3.4.10之前的3.4.x版本,3.6.4之前的3.6.x版本,4.0rc2之前的4.0.x版本中存在多个跨站请求伪造漏洞。远程攻击者可以劫持任意用户的多个请求认证。这些请求包括:(1)在buglist.cgi中添加保存搜索,(2)在votes.cgi中投票,(3)在sanitycheck.cgi中智能检查,(4)在chart.cgi中创建或者编辑一个图表,(5)在colchange.cgi中进行量变换,(6)在quips.cgi中添加、删除或通过一个退出。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取接:
https://bugzilla.mozilla.org/show_bug.cgi?id=621110
https://bugzilla.mozilla.org/show_bug.cgi?id=621109
https://bugzilla.mozilla.org/show_bug.cgi?id=621108
https://bugzilla.mozilla.org/show_bug.cgi?id=621107
https://bugzilla.mozilla.org/show_bug.cgi?id=621105
https://bugzilla.mozilla.org/show_bug.cgi?id=621090
http://www.bugzilla.org/security/3.2.9/
参考网址
来源: bugzilla.mozilla.org 链接:https://bugzilla.mozilla.org/show_bug.cgi?id=621110 来源: bugzilla.mozilla.org 链接:https://bugzilla.mozilla.org/show_bug.cgi?id=621109 来源: bugzilla.mozilla.org 链接:https://bugzilla.mozilla.org/show_bug.cgi?id=621108 来源: bugzilla.mozilla.org 链接:https://bugzilla.mozilla.org/show_bug.cgi?id=621107 来源: bugzilla.mozilla.org 链接:https://bugzilla.mozilla.org/show_bug.cgi?id=621105 来源: bugzilla.mozilla.org 链接:https://bugzilla.mozilla.org/show_bug.cgi?id=621090 来源: XF 名称: bugzilla-unspec-csrf(65003) 链接:http://xforce.iss.net/xforce/xfdb/65003 来源: VUPEN 名称: ADV-2011-0207 链接:http://www.vupen.com/english/advisories/2011/0207 来源: BID 名称: 45982 链接:http://www.securityfocus.com/bid/45982 来源: www.bugzilla.org 链接:http://www.bugzilla.org/security/3.2.9/ 来源: SECUNIA 名称: 43033 链接:http://secunia.com/advisories/43033 来源: OSVDB 名称: 70710 链接:http://osvdb.org/70710 来源: OSVDB 名称: 70709 链接:http://osvdb.org/70709 来源: OSVDB 名称: 70708 链接:http://osvdb.org/70708 来源: OSVDB 名称: 70707 链接:http://osvdb.org/70707 来源: OSVDB 名称: 70706 链接:http://osvdb.org/70706 来源: OSVDB 名称: 70705 链接:http://osvdb.org/70705 来源:NSFOCUS 名称:16373 链接:http://www.nsfocus.net/vulndb/16373
受影响实体
- Mozilla Bugzilla:3.2.5
- Mozilla Bugzilla:3.2:Rc1
- Mozilla Bugzilla:3.2.4
- Mozilla Bugzilla:3.2:Rc2
- Mozilla Bugzilla:3.2.2
补丁
- bugzilla-4.0rc2
- bug2054-40
- bug2054-cvs
- bug2055-34
- 621105.0
评论