DFN-CERT-2018-0332 Bugzilla: Eine Schwachstelle ermöglicht einen Cross-Site-Request-Forgery-Angriff

DFN-CERT-2018-0332 Bugzilla: Eine Schwachstelle ermöglicht einen Cross-Site-Request-Forgery-Angriff

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (20.02.18):
Neues Advisory

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in
Bugzilla ausnutzen, um über einen Cross-Site-Request-Forgery (CSRF)-Angriff
Informationen über als vertraulich eingestufte Bugs zu erhalten. Für einen
erfolgreichen Angriff ist die Kenntnis der Bug-ID erforderlich. Der
Angreifer muss zusätzlich einen Benutzer mit Zugriff auf diesen Bug zum
Aufruf einer speziell präparierten Webseite verleiten.

Der Hersteller informiert über die Schwachstelle in Bugzilla 2.16rc1 bis
4.4.12 sowie 4.5.1 bis 5.0.3 und hat die Versionen 4.4.13 und 5.0.4 als
Sicherheitsupdates zur Verfügung gestellt.

Für Fedora 26 und 27 stehen Sicherheitsupdates auf Version 5.0.4 im Status
‘testing’ zur Verfügung.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-0332]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben