Die Entwickler des freien Fehlerverwaltungssystem Bugzilla haben mehrere Fehler behoben, darunter ein Lücke, durch die Cross-Site-Scripting-Angriffe möglich waren.
Im aktuellen Security Advisory des Fehlerverwaltungssystems Bugzilla berichten die Entwickler von drei geschlossene Sicherheitslücken. So bestand die Möglichkeit einen Nutzer auf eine manipulierte Website zu locken, wenn dieser sich Bugs in der “Format for Printing”-Ansicht oder in der ausführlichen Ansicht anzeigen ließ. Weiterführende Informationen zum möglichen Cross-Site-Scripting-Angriff finden sich Fehlerbericht 425665.
Ein Fehler in der XML-RPC-Schnittstelle erlaubte es beliebigen Nutzern neue Fehlerberichte als “NEW” oder “ASSIGNED” anzulegen. Normalerweise braucht der Nutzer dafür “canconfirm”-Rechte. Den dritten Bug stufen die Entwickler als weniger kritisch ein. Durch ihn konnte ein Nutzer unter falschem Benutzernamen auftreten. Fehlende Authentifikation im Modul “email_in.pl” eröffnete die Möglichkeit den FROM-Header beliebig zu ändern.
Die Lücken traten in Bugzilla vor Version 3.0.4, 3.1.4, 2.22.4 und 2.20.6. Unter bugzilla.org/download stehen Patches und Anleitungen zum Schließen der Lücken bereit. Die kompletten Releases können von dort ebenfalls heruntergeladen werden.
