Bugzillaに未解決の脆弱性が発見される
2014年10月9日 11:16
あるAnonymous Coward 曰く、 オープンソースのバグトラッカーソフト「Bugzilla」に、アクセス権限を無視して非公開設定となっている情報を閲覧できるという脆弱性が発見された。これにより、未修正の脆弱性のような一般公開されていないバグ情報が閲覧されてしまう可能性があるという(TheRegister、Krebs on Security、Slashdot)。
具体的には、本来必要である認証プロセスを経ずにBugzillaにアクセスできるアカウントを作成できてしまうという。さらに、特定のメールアドレスを使ってアカウントを作成することで、管理者権限でBugzillaにログインすることも可能だという。これを利用し、サイバー犯罪者などが脆弱性情報を不正に得ることが可能なってしまうそうだ。
Mozillaによれば、この脆弱性は2.23.3以降のすべてのバージョンに存在するとのこと。Mozillaは9月29日にバグを開示し、月曜日にはパッチファイルを提供している。
スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ | バグ
関連ストーリー:
bashのShellshock脆弱性を利用するボットネットが出現 2014年09月27日
MozillaのBugzillaに1000000個目のバグが登録される 2014年04月23日
バグトラッキングシステム「Bugzilla」、初リリースから15周年 2013年09月17日