Utorak, 07 Veljača 2012 18:50

Dva propusta programskog paketa Bugzilla

U radu programskog paketa Bugzilla uočene su dvije sigurnosne ranjivosti. Radi se o programskom paketu koji se koristi za praćenje pogrešaka u programskom kodu. Spomenute ranjivosti javljaju se kao posljedica neispravnog rukovanja e-mail adresama te zbog neodgovarajuće provjere HTTP zahtjeva. Napadači te ranjivosti mogu iskoristiti za lažno predstavljanje, promjenu određenih podataka ili izvršavanje određenih administrativnih zadataka. Svim se korisnicima savjetuje odgovarajuća nadogradnja.

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2012-02-008
Naslov: Dva propusta programskog paketa Bugzilla
Datum: 2012-02-07
OS: Windows, Linux, UNIX
Programski paket: Bugzilla
Tip sigurnosnog problema: lazno predstavljanje, promjena podataka
Rizik: Malen
_______________________________________________________________________________

[1]  Uvod

Prilikom upotrebe programskog paketa Bugzilla uocena su dva sigurnosna nedostataka.
 
Radi se o aplikaciji koja se koristi za pracenje pogresaka u programskom kodu. Oslanja 
se na MySQL ili PostgreSQL bazu podataka.

Bitnije od njezinih karakteristika i mogucnosti su:

- besplatna je i otvorenoga programskog koda,
- omogucuje pracenje pogresaka i promjena koda,
- omogucuje komunikaciju s clanovima tima,
- podrzava slanje i pregled zakrpa,
- omogucuje upravljanje kvalitetom i dr.

Za pregled vise informacija preporuca se pregled sljedece web adrese:

http://www.bugzilla.org/about/

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Propusti uoceni u radu programskog paketa Bugzilla zlonamjernim korisnicima omogucuju 
izvodjenje tzv. "spoofing" napada i odredjenih zadataka te za utjecanje na integritet podataka.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima preporuca pregled originalne preporuke te nadogradnja na sljedece 
inacice: 3.4.14, 3.6.8 ili 4.0.4.  

-------------------------------------------------------------------------------

[4]  Analiza

* Prva od spomenutih ranjivosti javlja se kao posljedica neispravnog rukovanja email 
adresama koje sadrze posebno kodirane UTF-8 nizove . Napadaci to mogu iskoristiti za npr. lazno predstavljanje kao da su drugi korisnik.

* Druga ranjivost omogucuje korisnicima izvodjenje odredjenih radnji putem HTTP zahtjeva 
bez obavljanje prethodne provjere valjanosti tih zahtjeva. To se moze iskoristiti za 
npr. promjenu odredjenih podataka ili izvrsavanje pojedinih administrativnih zadataka 
u trenutku kada logirani korisnik posjeti posebno oblikovanu web stranicu.

-------------------------------------------------------------------------------

[5]  Credit

Informacije o propustima otkrili su:

1) James Kettle i
2) Mario Gomes.

Tekst izvorne preporuke nalazi se na sljedecim web adresama:

http://www.bugzilla.org/security/3.4.13/
https://bugzilla.mozilla.org/show_bug.cgi?id=714472
https://bugzilla.mozilla.org/show_bug.cgi?id=718319

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________