Quantcast
Channel: iThome
Viewing all articles
Browse latest Browse all 31362

有蟲共享:Bugzilla重大安全漏洞讓駭客可自行建立帳號存取機密資訊

$
0
0

開放源碼的臭蟲追蹤與測試工具Bugzilla在周四(9/10)修補了一個重大的安全漏洞,該漏洞將允許駭客建立一個具備特定權限的帳號,以存取位於Bugzilla中的機密安全資訊。

有不少組織採用Bugzilla來蒐集與管理臭蟲,包括Mozilla基金會、WebKit、Linux kernel/FreeBSD軟體專案,紅帽(Red Hat)與Apache軟體基金會等。

根據Bugzilla的說明,此一編號為CVE-2015-4499的漏洞允許駭客建立一個未經授權的帳號。駭客只要透過長度多於127字元的登入帳號(通常為電子郵件位址),就能損害該電子郵件位址的網域名稱,並趁機建立一個採用其他網域的帳號,還可將該帳號自動添增到群組中。

資安業者PerimeterX漏洞研究人員Netanel Rubin解釋,駭客透過該漏洞欺騙了Bugzilla,讓Bugzilla誤以為駭客來自特定的網域,而賦予存取權限。

Rubin說,此一漏洞非常容易利用,而且已公開超過一周,很可能已經有人遭受攻擊,建議那些以電子郵件作為Bugzilla登入帳號的業者儘速部署更新或在更新前先關閉該服務。

Mozilla才在不久前坦承駭客入侵了該基金會所使用的Bugzilla,存取機密等級的漏洞,並已利用其中一個安全漏洞以蒐集Firefox用戶的個人資訊。但根據Mozilla所述,駭客入侵的方式是竊取既有用戶的帳號與密碼,與Bugzilla此次公布的漏洞應該沒有關聯。

本周所釋出的Bugzilla 5.0.1、Bugzilla 4.4.10與Bugzilla 4.2.15皆已修補了CVE-2015-4499,並呼籲用戶儘速更新。(編譯/陳曉莉)


Viewing all articles
Browse latest Browse all 31362

Trending Articles



<script src="https://jsc.adskeeper.com/r/s/rssing.com.1596347.js" async> </script>