Changer l'apparence
Alertes: Bugzilla 2.x
Groupe(s) OS affecté(s) : Microsoft Windows / UNIX
Impact(s) : Révélation d'informations sensibles
Solution : Patch du fournisseur
Exploit : Disponible
ZATAZ ID : ASZ-2005-1048
Localisation(s) : Distante
Date de découverte : 17.05.2005
Un internaute malveillant pourrait obtenir des informations sensibles par le biais de ces vulnérabilités.
Deux vulnérabilités ont été rapportées pour Bugzilla 2.x
Frédéric Buclin a révéler que les utilisateurs peuvent déterminer si un produit invisible existe ou non car un message d'erreur d'accès refusé est retourné lorsque l'utilisateur essaye d'accéder à ce produit invisible. Les utilisateurs peuvent saisir des bugs pour ce produit invisible, si le nom du produit est connu. La vulnérabilité a été rapportée pour les versions 2.10 à 2.18, 2.19.1 et 2.19.2 (CAN-2005-1563 - CAN-2005-1564)
Marc Schumann a rapporté que le mot de passe d'un utilisateur peut être inclus dans l'URL d'un rapport de bug. Ce mot de passe peut être récupérer par le biais de log web. La vulnérabilité a été rapportée pour les versions 2.17.1 à 2.18, 2.19.1 et 2.19.2 (CAN-2005-1565)
Mettre à jour vers la version 2.18.1.
http://www.bugzilla.org/download/
Lien(s) Associé(s) :
Auteur(s) Associé(s) : Frédéric Buclin ( 2 ) / Marc Schumann ( 1 )
CVE Associé(s) : CAN-2005-1563 / CAN-2005-1564 / CAN-2005-1565
Veuillez noter que les informations diffusées par ZATAZ.net dans le cadre de sa rubrique Alertes ont comme
provenance des parties tierces.
ZATAZ.net collecte, valide et vérifie les vulnérabilités diffusées par les fournisseurs, groupes de recherches
spécialisés dans la sécurité informatique, etc.
Si vous désirez nous envoyer des alertes de sécurité que vous avez découvertes, contactez-nous sur alertes@zataz.net