Bugzilla Bugzilla_Email_Append.pl任意命令可执行漏洞发布时间:2002-10-08 更新时间:2002-10-08 严重程度:高 威胁程度:普通用户访问权限 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:5844 受影响系统 Mozilla Bugzilla 2.14详细描述 Bugzilla是软件BUG跟踪系统。 Bugzilla server存在漏洞可导致执行任意命令,bugzilla_email_append.pl脚本对用户插入到数据库的条目缺少正确检查,可导致提交恶意的格式化的条目给这个脚本,可以WEB权利执行任意命令。 测试代码 无 解决方案 升级程序: Mozilla Bugzilla 2.14: Mozilla Upgrade bugzilla-2.14.4.tar.gz http://ftp.mozilla.org/pub/webtools/bugzilla-2.14.4.tar.gz Mozilla Bugzilla 2.14.1: Mozilla Upgrade bugzilla-2.14.4.tar.gz http://ftp.mozilla.org/pub/webtools/bugzilla-2.14.4.tar.gz Mozilla Bugzilla 2.14.2: Mozilla Upgrade bugzilla-2.14.4.tar.gz http://ftp.mozilla.org/pub/webtools/bugzilla-2.14.4.tar.gz Mozilla Bugzilla 2.14.3: Mozilla Upgrade bugzilla-2.14.4.tar.gz http://ftp.mozilla.org/pub/webtools/bugzilla-2.14.4.tar.gz Mozilla Bugzilla 2.16: Mozilla Upgrade bugzilla-2.16.1.tar.gz http://ftp.mozilla.org/pub/webtools/bugzilla-2.16.1.tar.gz 相关信息 参考:http://online.securityfocus.com/archive/1/293703 相关主页:http://www.mozilla.org/bugs/source.html |
