Título: Revelación de información sensible en Bugzilla Publicado por: wolfbcn en 1 Agosto 2012, 18:48 pm Se han anunciado dos vulnerabilidades que afectan a Bugzilla y podrían permitir la revelación de información potencialmente sensible. Bugzilla es una herramienta de seguimiento de errores de código abierto, basada en web, y muy utilizada por empresas de desarrollo de software para sus proyectos. Además de la gestión de fallos y vulnerabilidades, también permite determinar la prioridad y severidad de los mismos, agregar comentarios y propuestas de solución, designar responsables para cada uno de ellos, enviar mensajes de correo para informar de un error, etc.
Frédéric Buclin y Byron Jones han descubierto dos vulnerabilidades que afectan a Bugzilla y que son debidas a errores de falta de comprobación de permisos.
Más información: Bugzilla 4.3.1, 4.2.1, 4.0.6, and 3.6.9 Security Advisory http://www.bugzilla.org/security/3.6.9/ (http://www.bugzilla.org/security/3.6.9/) (CVE-2012-1968) [SECURITY] HTML bugmail exposes information about restricted bugs https://bugzilla.mozilla.org/show_bug.cgi?id=777398 (https://bugzilla.mozilla.org/show_bug.cgi?id=777398) (CVE-2012-1969) [SECURITY] The description of private attachments is still visible to unauthorized users when mentioned in a commenthttps://bugzilla.mozilla.org/show_bug.cgi?id=777586 (https://bugzilla.mozilla.org/show_bug.cgi?id=777586) FUENTE :http://www.laflecha.net/canales/seguridad/noticias/revelacion-de-informacion-sensible-en-bugzilla |