 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 19 octobre 2009
No CERTA-2009-AVI-391-001 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans Bugzilla
Tableau 1: Gestion du document
| Référence |
CERTA-2009-AVI-391-001 |
| Titre |
Multiples
vulnérabilités dans Bugzilla |
| Date de la première
version |
18 septembre 2009 |
| Date de la dernière
version |
19 octobre 2009 |
| Source(s) |
Bulletin de
sécurité Bugzilla du 11 septembre
2009 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Atteinte à l'intégrité des
données ;
- atteinte à la confidentialité des
données.
- Bugzilla 3.0.8 ;
- Bugzilla 3.2.4 ;
- Bugzilla 3.4.1.
Plusieurs vulnérabilités présentes dans
Bugzilla permettent à un
utilisateur distant malintentionné de porter atteinte
à la confidentialité ou à
l'intégrité des données.
Trois vulnérabilités sont présentes dans
Bugzilla :
- la première concerne un manque de contrôle
dans certaines entrées passées au service Bug.search et permet d'injecter des
commandes SQL ;
- la seconde est relative à un manque de
contrôle dans certaines entrées passées
au service Bug.create et permet
d'injecter des commandes SQL ;
- la dernière est relative au mécanisme de
gestion des mots de passe des utilisateurs qui, sous
certaines conditions, affiche des mots de passe en
clair.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
Les versions 3.0.9, 3.2.5 et 3.4.2 corrigent le
problème :
http://www.bugzilla.com/download/
- 18 septembre 2009
- version initiale.
- 19 octobre 2009
- ajout de la référence au bulletin de
sécurité Debian.
CERTA
2012-01-04
|
|
)
