Risque

Atteinte à la confidentialité des données.

Systèmes affectés

Bugzilla 3.2.x, 3.4.x, 3.6.x, 3.7.x.

Résumé

Deux vulnérabilités dans Bugzilla permettent à un utilisateur malveillant de porter atteinte à la confidentialité de données.

Description

Quand le paramètre de configuration $use_suexec est positionné à 1 (un), le fichier de configuration devient lisible par tous. Les mots de passe et les informations de protection contre les requêtes illégitimes par rebond (CSRF) deviennent visibles (CVE-2010-0180).

Un problème dans la gestion des URL de recherche permet à un utilisateur n'appartenant pas au groupe time tracking group d'obtenir des informations réservées à ce dernier (CVE-2010-1204).

Solution

Les versions 3.2.7, 3.4.7, 3.6.1 et 3.7.1 corrigent ces problèmes.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation