Összefoglaló
A Bugzilla olyan sérülékenységei váltak ismertté, amelyeket kihasználva a rosszindulatú felhasználók kihasználhatnak hamisítás támadásokat, a támadók pedig cross-site kérés hamisítás (XSRF – cross-site request forgery) támadásokat indíthatnak.
Leírás
- Bizonyos UTF8-al kódolt karaktereket tartalmazó email címek kezelésében található hiba kihasználható pl. egy másik felhasználó megszemélyesítésére.
- Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ez kihasználható pl. bizonyos hiba (bug) adat megváltoztatására vagy bizonyos adminisztratív feladatok futtatására, amikor egy bejelentkezett felhasználó meglátogat egy speciálisan kialakított internetes oldalt.
Az érintett termékek listája megtekinthető a gyártó internetes oldalán.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Other (Egyéb)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.bugzilla.org
Gyártói referencia: bugzilla.mozilla.org
Gyártói referencia: bugzilla.mozilla.org
SECUNIA 47814
CVE-2012-0440 - NVD CVE-2012-0440
CVE-2012-0448 - NVD CVE-2012-0448