Das Fehlerdatenbanksystem Bugzilla ist in den aktualisierten Versionen 2.20.4, 2.22.2 und 2.23.4 erschienen. Mit dem Update beheben die Entwickler laut einem Advisory zwei kritische Schwachstellen, die unter Umständen Cross Site Scripting (XSS) durch manipulierte Datenbankeinträge ermöglichen sowie die Offenlegung des Datenbankpasswortes nach sich ziehen.
Die XSS-Lücke betrifft die Atom-Feeds von Bugzilla 2.20.1 und späteren Versionen, die unter Umständen in Datenbankeinträgen enthaltenen JavaScript-Code an die Feed-Reader durchreichen. In Readern, die JavaScript unterstützen, kann dieser zur Ausführung gelangen und möglicherweise von Angreifern genutzt werden, um an vertrauliche Nutzerdaten zu gelangen.
Der Fehler im Umgang mit dem Datenbankpasswort betrifft ausschließlich Bugzilla Version 2.23.3, sofern sie mit dem Apache-Modul mod_perl läuft. Aufgrund eines fehlenden Eintrags in einem Block der Apache-Konfiguration bleibt die .htaccess-Datei wirkungslos, die unbefugten Zugriff durch den Webserver verhindern soll. Dies führt unter Umständen dazu, dass ein Angreifer übers Netz die Datei mit den Datenbankzugangsdaten auslesen kann.
Laut den Bugzilla-Entwicklern ist der 2.18er-Zweig von beiden Schwachstellen nicht betroffen. Wer eine neuere Version administriert, sollte allerdings umgehend auf die fehlerbereinigte Version des eingesetzten Zweiges aktualisieren.
Siehe dazu auch:
* 2.20.3, 2.22.1, and 2.23.3 Security Advisory, Informationen der Bugzilla-Entwickler
Quelle und Links :
http://www.heise.de/security/news/meldung/84799
