Vulnerabilidad en Bugzilla (versiones 2.0 a 4.4.2 y 4.5.1 a 4.5.2) que permitiría a un atacante remoto la realización de ataques cross-site request forgery. También existe otro problema al permitir la inserción de caracteres de control.

Bugzilla es una herramienta de seguimiento de errores de código abierto, basada en web, y muy utilizada por empresas de desarrollo de software para sus proyectos. Además de la gestión de fallos y vulnerabilidades, también permite determinar la prioridad y severidad de los mismos, agregar comentarios y propuestas de solución, designar responsables para cada uno de ellos, enviar mensajes de correo para informar de un error, etc. 

 
El formulario de autenticación no tiene los adecuados controles para la protección Cross-Site Request Forgery (CVE-2014-1517). Este tipo de vulnerabilidad permite a un atacante ejecutar funcionalidades de una web determinada a través de la sesión de otro usuario en esa web. De esta forma un atacante podría tener acceso a los reportes del usuario atacado. 
 
Por otra parte Bugzilla permite la inserción de caracteres de control peligrosos, especialmente en comentarios. Si ese texto, que puede parecer seguro, se copia a un terminal (como xterm o gnome-terminal) se puede provocar la ejecución de comandos. 
 
Las correcciones para estos problemas se encuentran incluidas en las versiones 4.0.12, 4.2.8, 4.4.3 y 4.5.3, disponibles desde: 
http://www.bugzilla.org/download/ 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2014/04/vulnerabilidad-cross-site-request.html#comments
 
Más información:
 
4.5.3, 4.4.3, 4.2.8, and 4.0.12 Security Advisory
http://www.bugzilla.org/security/4.0.11/

Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar