安全中国首页 > 新闻中心 > 其他漏洞
 

Bugzilla 非授权创建账户绕过访问验证漏洞

更新时间:2008-2-12 0:17:48
责任编辑:阿loosen
热 点:
受影响系统: 

Mozilla Bugzilla < 3.1.2 

Mozilla Bugzilla < 3.0.2 

不受影响系统: 

Mozilla Bugzilla 3.1.2 

Mozilla Bugzilla 3.0.2 

描述: 

-------------------------------------------------------------------------------- 

BUGTRAQ ID: 25725 

Bugzilla是一种流行的开源软件Bug跟踪系统。 

Bugzilla的实现上存在漏洞,远程攻击者可能利用此漏洞非授权创建账户获取对系统的访问。 

Bugzilla的User.pm模块的offer_account_by_email()函数没有对createemailregexp参数做充分的检查过滤,如果系统上安装了SOAP::Lite Perl模块,那么远程攻击者可能利用此漏洞在系统上创建Bugzilla用户账号,从而获取对系统的访问。 

<*来源:Sascha Jensen 

Frédéric Buclin 

链接:http://secunia.com/advisories/26848/ 

http://www.bugzilla.org/security/3.0.1/ 

https://bugzilla.mozilla.org/show_bug.cgi?format=multiple&id=395632 

*> 

建议: 

-------------------------------------------------------------------------------- 

厂商补丁: 

Mozilla 

------- 

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: 

http://www.bugzilla.org/download/ 

https://bugzilla.mozilla.org/attachment.cgi?id=280385 

https://bugzilla.mozilla.org/attachment.cgi?id=280316 

 
安全中国网友投稿专用上传FTP空间:
Ftp服务器:www.anqn.com
Ftp端口:21
用户名:anqn
密 码:anqn.com
 
学习软件编程开发技术,推荐加入以下软件编程培训班:
易语言软件编程培训班(简单易学)  Delphi软件编程培训班  VC++软件编程培训班
VB软件编程培训班  JAVA高端编程就业研发班

学习网站开发制作技术,推荐加入以下网站开发培训班:
ASP.net网站开发项目实战班  ASP语言网站建设培训班

学习网络安全入侵防护技术,推荐加入以下技术培训班:
大型网络安全入侵防护班  网站脚本程序全方位安全检测班

学习网络管理、网吧运营维护技术(网管),推荐加入以下培训班:
大型网吧技术管理人才特训班  Linux网络嵌入架构工程师培训班

学习专项特殊技术,推荐加入以下专项技术培训班:
软件与游戏外挂脱壳破解班(逆向工程)  赚钱王道-网赚技能培训班  Flash动画设计师就业特训班