Se han publicado nuevas versiones de Bugzilla para
solucionar una nueva vulnerabilidad que podría permitir a atacantes remotos
conseguir crear cuentas de usuario sin autorización.
Bugzilla es una
herramienta de seguimiento de errores de código abierto, basada en web, y muy
utilizada por empresas de desarrollo de software para sus proyectos. Además de
la gestión de fallos y vulnerabilidades, también permite determinar la
prioridad y severidad de los mismos, agregar comentarios y propuestas de
solución, designar responsables para cada uno de ellos, enviar mensajes de correo
para informar de un error, etc.
El problema
(CVE-2015-4499) reside en que los nombres de usuario (habitualmente una
dirección de correo) de más de 127 caracteres pueden corromperse al grabarse.
Esto podría permitir a un atacante crear una cuenta con una cuenta de correo
diferente a la solicitada originalmente. De esta forma, la cuenta de usuario
puede añadirse de forma automática a grupos para los que el usuario no esté
autorizado, basándose en la configuración de expresiones regulares del grupo.
La corrección para
este problema se encuentra incluidas en las versiones 4.2.15, 4.4.10, 5.0.1,
disponibles desde:
Más información:
5.0, 4.4.9, and
4.2.14 Security Advisory
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario