Se
han publicado nuevas
versiones de Bugzilla para solucionar cuatro
nuevas vulnerabilidades que podrían permitir a atacantes la creación de
cuentas sin autorización, la realización de ataques cross-site scripting, la fuga
de información y de ingeniería social.
Bugzilla es una herramienta de
seguimiento de errores de código abierto, basada en web, y muy utilizada por
empresas de desarrollo de software para sus proyectos. Además de la gestión de
fallos y vulnerabilidades, también permite determinar la prioridad y severidad
de los mismos, agregar comentarios y propuestas de solución, designar
responsables para cada uno de ellos, enviar mensajes de correo para informar de
un error, etc.
El primero de los problemas (CVE-2014-1572)
podría permitir que un atacante al crear una nueva cuenta Bugzilla anule determinados
parámetros, lo que podría llevar a que el nuevo usuario se cree con una
dirección de correo electrónico de la introducida originalmente. Esto podría
facilitar al atacante que su cuenta de usuario sea añadida a determinados
grupos, con mayor acceso a información, al basar la inclusión en grupos por
ejemplo si la dirección es de un determinado dominio.
También se han encontrado múltiples
problemas de cross-site scripting (CVE-2014-1573). Otro problema de fuga de
información podría hacer visibles a todos los usuarios determinados comentarios
marcados para un grupo interno (CVE-2014-1571). Y por último, resultados de
búsqueda pueden exportarse como archivo CSV que pueden importarse por un
programa de hoja de cálculo. Campos con valores especialmente formateados
pueden ser interpretados como fórmulas que se pueden ejecutar y utilizar para
atacar el sistema de un usuario.
Las correcciones para estos
problemas se encuentran incluidas en las versiones 4.0.15, 4.2.11, 4.4.6, 4.5.6,
disponibles desde:
Más información:
4.0.14, 4.2.10, 4.4.5, and 4.5.5
Security Advisory
Antonio Ropero
Twitter: @aropero
