DFN-CERT-2012-2172 Mehrere Schwachstellen in Bugzilla [Linux][Fedora]

DFN-CERT-2012-2172 Mehrere Schwachstellen in Bugzilla [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket bugzilla

Betroffene Plattformen:

Fedora 16
Fedora 17

Mehrere Schwachstellen in Bugzilla ermöglichen entfernten Angreifern an
geschützte Informationen zu gelangen oder Cross-Site-Scripting-Angriffe
durchzuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2012-5475: Schwachstelle in Bugzilla

Es gibt eine Schwachstelle in swfstore.swf (aus YUI2) in Bugzilla vor den
Versionen 4.0.9, 4.2.4 und 4.4rc1. “swfstore.swf” ist anfällig für
JavaScript-Injection.

CVE-2012-4197: Schwachstelle in Bugzilla

Es gibt eine Schwachstelle in Bugzilla in den Versionen vor 3.6.12, 4.0.9,
4.2.4 und 4.4rc1. Versucht ein Angreifer ein Attachment in einem Bug, auf
den er keinen Zugriff hat, als obsolet zu markieren, so wird dessen
Beschreibung in der Fehlermeldung enthüllt.

CVE-2012-4199: Schwachstelle in Bugzilla

In den Versionen vor 3.6.12, 4.0.9, 4.2.4, sowie 4.4rc1 enthält Bugzilla
eine Schwachstelle. Falls die Sichtbarkeit eines benutzerdefinierten Feldes
von einem, für den Anwender nicht sichtbaren Produkt oder von einer
Produkt-Komponente kontrolliert wird, dann werden die jeweiligen Namen im
generierten JavaScript-Code für dieses benutzerdefinierte Feld enthüllt.

CVE-2012-4198: Schwachstelle in Bugzilla

Bugzilla enthält in den Versionen vor 4.0.9, 4.2.4 und 4.4rc1 eine
Schwachstelle. Wir die Methode “User.get” mit einem ‘groups’-Argument
aufgerufen, wird die Existenz der Gruppe anhand der ausgegebenen
Fehlermeldung enthüllt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-2172/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2012-November/093070.html
http://lists.fedoraproject.org/pipermail/package-announce/2012-November/093080.html

Schwachstelle CVE-2012-4199:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4199

Schwachstelle CVE-2012-4198:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4198

Schwachstelle CVE-2012-4197:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4197

Schwachstelle CVE-2012-5475:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5475

Bugzilla: 4.3.3, 4.2.3, 4.0.8, and 3.6.11 Security Advisory:
http://www.bugzilla.org/security/3.6.11/

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben