Bugzilla localconfig文件信息泄露漏洞

释放双眼,带上耳机,听听看~!

文章转载开源中国

发布日期:2010-06-24
更新日期:2010-06-28

受影响系统:
Mozilla Bugzilla 3.x
Mozilla Bugzilla 2.x
不受影响系统:
Mozilla Bugzilla 3.7.1
Mozilla Bugzilla 3.6.1
Mozilla Bugzilla 3.4.7
Mozilla Bugzilla 3.2.7

描述:
——————————————————————————–
BUGTRAQ  ID: 41144
CVE ID: CVE-2010-0180

Bugzilla是很多软件项目都在使用的基于Web的BUG跟踪系统。

如果在localconfig文件中将$use_suexec设置为1,则localconfig文件的权限就会被设置为 checksetup.pl完全可读,这允许所有拥有本地shell访问的用户都可以查看文件内容,包括数据库口令和用于防范CSRF的 site_wide_secret变量。

<*来源:Daniel Piddock
 
  链接:
        http://secunia.com/advisories/40300/
        http://www.bugzilla.org/security/3.2.6/
*>

建议:
——————————————————————————–
厂商补丁:

Mozilla
——-
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.bugzilla.org/download/

给TA打赏
共{{data.count}}人
人已打赏
安全漏洞

Windows 帮助中心出现漏洞

2010-6-12 11:12:22

安全漏洞

缝补无止境 微软IE 6/7/8再曝高危安全漏洞

2010-7-8 11:12:22

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索