Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Vulnerabilidades en el manejo de archivos de Bugzilla
 
VSantivirus No. 910 - Año 7 - Viernes 3 de enero de 2003

 Vulnerabilidades en el manejo de archivos de Bugzilla
http://www.vsantivirus.com/vul-bugzilla.htm

Alerta: Vulnerabilidades en el manejo de archivos de Bugzilla
Fecha: 3/ene/03
Aplicaciones vulnerables: Bugzilla 2.x
Severidad: Media
Riesgo: Exposición de datos confidenciales


Han sido anunciadas dos vulnerabilidades en las versiones 2.x de Bugzilla. Bugzilla es una aplicación creada para gestionar la labor de numerosos desarrolladores durante la gestión de los errores y las tareas entre las diferentes partes. El proyecto original fue Mozilla, el navegador de código abierto surgido a partir de la liberación del código fuente de Netscape.

En un proyecto de esta magnitud, debido a su tamaño y cantidad de participantes, requiere una gestión de errores y de tareas, debido a que puede ser muy engorroso saber en cada momento qué pasa con cada actividad o quién está arreglando determinado problema.

Bugzilla permite a todos los implicados conocer el estado de los trabajos, quién los tiene asignados, etc., también facilita la entrada de nuevos integrantes, además de funcionar a través de un acceso Web desde cualquier lugar de Internet, o redes Intranet o Extranet.

Las vulnerabilidades

Uno de los problemas detectados en esta herramienta, permite a un usuario local alterar o borrar el contenido del directorio de datos.

El otro problema es que el archivo por defecto .htaccess, falla en proteger los respaldos de archivos hechos por algunos editores. Esto deja expuesto a un posible atacante los detalles de la configuración y las contraseñas de la base de datos.

Los usuarios remotos, deberían estar impedidos de acceder a una base de datos como MySQL, lo que limita el ataque solamente a escenarios locales.

Existen nuevas versiones disponibles que no son vulnerables:
  • 2.14.5
  • 2.16.2
  • 2.17.3

Parches:
http://ftp.mozilla.org/pub/webtools/

Versiones completas:
http://www.bugzilla.org/download.html



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS