Bugfixes für Bugzilla

11. September 2007, 12:19
posten

Updates für die Fehlerverwaltung bereinigen eine Reihe von Sicherheitslücken in der Software

An eine Fehlerverwaltungssoftware werden manchmal nicht nur Bugs und Sicherheitslücken für andere Projekte berichtet, manchmal trifft es eben auch einen selber: So veröffentlichen die EntwicklerInnen von Bugzilla nun Updates für die eigene Software mit der eine Reihe von sicherheitsrelevanten Problemen beseitigt werden sollen.

Details

So hatte sich in der Open Source Software ein Fehler eingeschlichen, mittels dessen sich Shell-Befehle einschleusen lassen. Die Schwachstelle liegt dabei in der mangelhaften Überpüfung von Argumenten in der Funktion Email::Send::Sendmail().

XSS

Ein weiteres Problem erlaubte es BenutzerInnen ohne die nötigen Berechtigungen die Zeitpläne von einzelnen Einträgen einzusehen. Außerdem waren Cross-Site-Scripting-Attacken beim Anlegen von Fehlereinträgen möglich.

Download

Alle diese Probleme sind in den neuen Varianten von Bugzilla bereinigt worden. Die stabilen Releases 2.20.5, 2.22.3 und 3.01 stehen ebenso zum Download wie eine neue Entwicklungsversion 3.1.1. (red)

  • Bild nicht mehr verfügbar
Share if you care.