除虫工具Bugzilla曝零日漏洞,150个大型开源项目受影响
作者:星期四, 十月 9, 20140

BUG-perl-安全牛

安全公司Check Point近日利用Perl编程语言中发现的新型缺陷成功入侵了流行的bug追踪工具——Bugzilla,并成功在管理员群组中增加了四个用户账号,获得最高权限后发现了更多漏洞。

目前大约有150个大型软件开发和开源项目,包括Mozilla、OpenOffice、RedHat甚至Linux内核,都使用Bugzilla来追踪产品漏洞和缺陷。

本周一,Bugzilla向公众发布了补丁,但在上周接获Check Point的私下漏洞报告后,Bugzilla已经第一时间通知了上述大型开源项目。

根据提交给Bugzilla的漏洞报告,最新发现的漏洞并非SQL注入漏洞,而是全新的安全缺陷。攻击者可以利用Bugzilla的漏洞修改用户创建流程中的任意数据域,甚至包括登录用户名,这意味着攻击者可以将普通用户名(邮件地址),修改为匹配管理员邮件地址后缀的字符串正则表达式,从而获得权限提升。Mozilla负责Bugzilla项目的开发者Gervase Markham指出,Bugzilla的产品代码中一共有15处地方存在安全问题,其中有4处很可能已经被黑客利用,他呼吁任何运行Perl web应用的IT人员尽快审计Perl语言漏洞。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章