摘要: Bug跟踪系统Bugzilla近日爆出零日漏洞(CVE编号:cve-2014-1572),允许任何用户浏览提交到Bugzilla系统的未修正且尚未公开的相关数据。Bugzilla的查询权限分配漏洞允许任何人使用能绕过验证的任意电子邮件注册,获得某个Bugzil...
Bug跟踪系统Bugzilla近日爆出零日漏洞(CVE编号:cve-2014-1572),允许任何用户浏览提交到Bugzilla系统的未修正且尚未公开的相关数据。Bugzilla的查询权限分配漏洞允许任何人使用能绕过验证的任意电子邮件注册,获得某个Bugzilla平台的管理权限。在获取管理权限后研究人员发现了更多漏洞。
关于Bugzilla
Bugzilla是Mozilla公司提供的一款开源的免费Bug(错误或是缺陷)追踪系统,用来帮助你管理软件开发,建立完善的BUG跟踪体系。它让用户报告软件的缺陷从而把它们转给合适的开发者。开发者能使用bugzilla保持一个要做事情的优先表,还有时间表和跟踪相关性。
目前大约有150个大型软件开发和开源项目,包括Mozilla、OpenOffice、Redhat等都使用Bugzilla来追踪产品漏洞和缺陷。
Mozilla负责Bugzilla项目的开发者Gervase Markham指出,Bugzilla的产品代码中一共有15处地方存在安全问题,其中有4处很可能已经被黑客利用,目前Bugzilla已经发布更新修正问题,安恒信息建议使用Bugzilla系统的用户尽快升级到最新版本:http://www.bugzilla.org/security/4.0.14/
