S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 05 août
2011
No CERTA-2011-AVI-430 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans Bugzilla
Tableau 1: Gestion du document
| Référence |
CERTA-2011-AVI-430 |
| Titre |
Multiples
vulnérabilités dans Bugzilla |
| Date de la première
version |
05 août 2011 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité Bugzilla du 4 aout
2011 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Contournement de la politique de sécurité
;
- atteinte à la confidentialité des
données ;
- injection de code indirecte à distance.
- Bugzilla version 3.4.x antérieures à la
version 3.4.12 ;
- Bugzilla version 3.6.x antérieures à la
version 3.6.6 ;
- Bugzilla version 4.0.x antérieures à la
version 4.0.2 ;
- Bugzilla version 4.1.x antérieures à la
version 4.1.3.
Plusieurs vulnérabilités ont été
corrigées dans Bugzilla.
Plusieurs vulnérabilités ont été
corrigées dans Bugzilla dont :
- une mauvaise validation de certains
éléments permet de mener des attaques par
injection de code indirecte ;
- Il est possible de déterminer l'existence
d'éléments confidentiels lors de la
création ou de la mise à jour de bugs ;
- Une mauvaise gestion de fichiers temporaires peut
être exploitées par des utilisateurs locaux pour
porter atteinte à la confidentialité des
données.
Se référer au bulletin de l'éditeur
pour plus de détails sur les
vulnérabilités corrigées et les versions
affectées par ces vulnérabilités.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
Les versions 3.4.12, 3.6.6, 4.0.2 et 4.1.3 corrigent ces
vulnérabilités.
- 05 août 2011
- version initiale.
CERTA
2012-01-04
|
)
