Sécurité informatique

SECURINFOS.INFO - Veille en sécurité informatique

Bugzilla importxml.pl : Vulnérabilité de Traversée de Répertoires

12/08/2008 17H09
Référence Secunia : SA31444 
Date de publication : 2008-08-12

Risque : Non Critique. Niveau 2 sur 5.
Impact : Exposition d'informations systèmes, Exposition de données sensibles
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Bugzilla 2.x
Bugzilla 3.x


Description :
Une vulnérabilité a été rapportée dans Bugzilla, qui pourrait être exploitée par des utilisateurs malicieux pour divulguer des informations sensibles.

La vulnérabilité est causée du fait d'une erreur de validation d'entrée dans le importxml.pl script lors du traitement de "filename" entrées. Cela pourrait être exploité pour lire des fichiers arbitraires depuis le système local via des attaques pour traverser les répertoires.

L'exploitation de ce problème est possible seulement si Bugzilla est configuré pour utiliser the importxml.pl script avec l'option "--attach_path".

La vulnérabilité est rapportée en versions inférieures à 2.22.5 et 3.0.5.


Solutions :
Mettre à jour en version 2.22.5 ou 3.0.5.


Vulnérabilité découverte par :

L'éditeur crédite Greg Hendricks, Frédéric Buclin, et Ilja van Sprundel.

Référence :
http://www.bugzilla.org/security/2.22.4/

https://bugzilla.mozilla.org/show_bug.cgi?id=437169




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.