漏洞信息详情
Mozilla Bugzilla组选择信息泄露漏洞
- CNNVD编号:CNNVD-201002-013 <!--
- 危害等级: 中危-->
- 危害等级: 中危
- CVE编号: CVE-2009-3387
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2010-02-03
- 威胁类型: 远程
- 更新时间: 2010-02-04
- 厂 商: mozilla
- 漏洞来源: Frédéric Buclin※ L...
-
漏洞简介
Bugzilla是很多软件项目都在使用的基于Web的BUG跟踪系统。
在将Bug从一个产品移动到另一个产品中时,会显示一个中间页面让用户选择Bug在新产品中应限制到的组,但在3.4.x版本系列中的一个功能倒退导致忽略了所有的组。作为临时解决方案,用户必须分两步首先将Bug移动至新产品中然后再限制到期望的组中,在这两步之间的时间窗口中Bug是临时公开可见的。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: http://secunia.com/advisories/38443
参考网址
来源: VUPEN
名称: ADV-2010-0261
链接:http://www.vupen.com/english/advisories/2010/0261
来源: bugzilla.mozilla.org
链接:https://bugzilla.mozilla.org/show_bug.cgi?id=532493
来源: XF
名称: bugzilla-group-restriction-info-disclosure(56004)
链接:http://xforce.iss.net/xforce/xfdb/56004
来源: BID
名称: 38026
链接:http://www.securityfocus.com/bid/38026
来源: BUGTRAQ
名称: 20100201 Security Advisory for Bugzilla 3.0.10, 3.2.5, 3.4.4, and 3.5.2
链接:http://www.securityfocus.com/archive/1/archive/1/509282/100/0/threaded
来源: SECUNIA
名称: 38443
链接:http://secunia.com/advisories/38443
来源:NSFOCUS 名称:14440 链接:http://www.nsfocus.net/vulndb/14440
受影响实体
- Mozilla Bugzilla:3.3.1<!--2000-1-1-->
- Mozilla Bugzilla:3.3.2<!--2000-1-1-->
- Mozilla Bugzilla:3.3.3<!--2000-1-1-->
- Mozilla Bugzilla:3.3.4<!--2000-1-1-->
- Mozilla Bugzilla:3.4<!--2000-1-1-->
补丁
- bugzilla-3.4.1-to-3.4.5-nodocs.diff<!--2010-1-31-->
- bugzilla-3.4.3-to-3.4.5-nodocs.diff<!--2010-1-31-->
- bugzilla-3.5.3.tar<!--2010-1-31-->
- bugzilla-3.4-to-3.4.5.diff<!--2010-1-31-->
- bugzilla-3.4.2-to-3.4.5.diff<!--2010-1-31-->
还没有评论,来说两句吧...