Unberechtigter Zugriff auf Bugzilla
Angreifer können im Fehlerverfolgungssystem Bugzilla neue Konten anlegen, auch wenn der Administrator die Funktion dazu deaktiviert hat. Aktualisierte Versionen und Patches schließen die Lücke.
Die Entwickler des quelloffenen Fehlerverfolgungs- und -verwaltungssystems Bugzilla haben Patches für alte Versionen sowie aktualisierte Fassungen der Software herausgegeben, die eine Sicherheitslücke schließen. Angreifer können neue Konten anlegen, auch wenn die Option dazu deaktiviert ist. In Umgebungen, die eine Anmeldung der Nutzer erfordern, handelt es sich den Entwicklern zufolge um eine kritische Lücke.
Der Fehler kann auftreten, wenn der Webservice in Bugzilla aktiv ist. Die Funktion Bugzilla::WebService::User::offer_account_by_email überprüft den übergebenen Parameter createemailregexp nicht korrekt. Dadurch können Angreifer der Sicherheitsmeldung zufolge über den Webservice neue Konten anlegen.
Sofern auf dem Server das Perl-Modul SOAP::Lite nicht installiert ist, aktiviert die Bugzilla-Installation den Webservice nicht, sodass die Installation dann nicht für den Fehler anfällig ist. Betroffen sind die Bugzilla-Versionen 2.23.x, 3.0.x und 3.1.x. Die Entwickler stellen dafür Patches bereit, die betroffene Administratoren zügig einspielen sollten. Außerdem haben die Entwickler die neuen Versionen 3.0.2 und 3.1.2 herausgegeben, die die Lücke ebenfalls nicht mehr aufweisen. Nutzern von älteren Versionen legen die Bugzilla-Entwickler ein Upgrade auf die neuen Versionen nahe.
Siehe dazu auch:
- Security Advisory for Bugzilla 3.0.1 and 3.1.1, Sicherheitsmeldung der Bugzilla-Entwickler
- Patch für die Bugzila-Versionen 2.23.x und 3.0.x
- Patch für die Bugzilla-Versionen 3.1.x
- Download der aktuellen Bugzilla-Versionen
(dmk)
