Bugzilla存在多个漏洞发布时间:2003-10-04 更新时间:2003-11-04 严重程度:中 威胁程度:服务器信息泄露 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:8953 受影响系统 Mozilla Bugzilla 2.4详细描述 Bugzilla是基于WEB的漏洞更关系同。 其中包含多个SQL注入和信息泄露问题,具体问题如下: 1,拥有'editproducts'权限的用户可以选择任意SQL给特殊的产品名参数由CRON JOB来执(collectstats.pl)。 2,拥有editkeywords'权限用户可以通过用于编辑关键词的URL来插入任意SQL。 3,如果知道POST安全漏洞作者的EMAIL地址,就可以在没有访问权限的情况下访问漏洞信息。 4,在部分情况下,用户可以访问本来不能访问的产品描述信息。 解决方案 升级程序: Mozilla Bugzilla 2.4: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Mozilla Bugzilla 2.6: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Mozilla Bugzilla 2.8: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Mozilla Bugzilla 2.10: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Mozilla Bugzilla 2.12: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Mozilla Bugzilla 2.14: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Mozilla Bugzilla 2.14.1: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Mozilla Bugzilla 2.14.2: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Mozilla Bugzilla 2.14.3: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Mozilla Bugzilla 2.14.4: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Mozilla Bugzilla 2.14.5: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Mozilla Bugzilla 2.16: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Mozilla Bugzilla 2.16.1: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Mozilla Bugzilla 2.16.2: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Mozilla Bugzilla 2.16.3: Mozilla Upgrade bugzilla-2.16.4.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.16.4.tar.gz Conectiva Upgrade bugzilla-2.16.4-29154U90_1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/9/RPMS/bugzilla-2.16.4-29154U90_1cl.i386.rpm Conectiva Upgrade bugzilla-doc-2.16.4-29154U90_1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/9/RPMS/bugzilla-doc-2.16.4-29154U90_1cl.i386.rpm Mozilla Bugzilla 2.17.1: Mozilla Upgrade bugzilla-2.17.5.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.17.5.tar.gz Mozilla Bugzilla 2.17.3: Mozilla Upgrade bugzilla-2.17.5.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.17.5.tar.gz Mozilla Bugzilla 2.17.4: Mozilla Upgrade bugzilla-2.17.5.tar.gz ftp://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-2.17.5.tar.gz 相关信息 Bradley Baetz, Ryan Cleary, Andrew Eross, Vlad Dascalu, and Stefan Mayr. 参考:http://www.securityfocus.com/archive/1/343185 相关主页:http://www.bugzilla.org/ |
