Bugzilla未授权帐户创建漏洞（CVE-2014-1572）

发布日期：2014-10-09
更新日期：2014-10-09受影响系统：
Bugzilla Bugzilla 4.5.1 - 4.5.5
Bugzilla Bugzilla 4.3.1 - 4.4.5
Bugzilla Bugzilla 4.1.1 - 4.2.10
Bugzilla Bugzilla 2.23.3 - 4.0.14
不受影响系统：
Bugzilla Bugzilla 4.5.6
Bugzilla Bugzilla 4.4.6
Bugzilla Bugzilla 4.2.11
Bugzilla Bugzilla 4.0.15
描述：
CVE（CAN） ID: CVE-2014-1572 Bugzilla是一个开源的缺陷跟踪系统，它可以管理软件开发中缺陷的提交，修复，关闭等整个生命周期。广泛使用在开源项目中，例如 Apache Software Foundation, Linux kernel, LibreOffice, OpenOffice, OpenSSH, Eclipse, KDE, GNOME, 各种Linux发行版等。Bugzilla在实现上存在未授权帐户创建漏洞，允许攻击者创建新的Bugzilla帐户，在最终化帐户创建时覆盖某些参数，导致用不同于最初请求的电子邮件创建用户。被覆盖的登录名根据组正则表达式设置自动添加到组内。<*来源：Check Point Software Technologies
Simon Green
Byron Jones
James Kettle
Netanel Rubin
Frederic Buclin
Matt Tyson
David Lawrence

链接：http://www.bugzilla.org/security/4.0.14/
*>建议：
厂商补丁：Bugzilla
--------
Bugzilla已经为此发布了一个安全公告（4.0.14）以及相应补丁:
4.0.14：4.0.14, 4.2.10, 4.4.5, and 4.5.5 Security Advisory
链接：http://www.bugzilla.org/security/4.0.14/补丁下载：http://www.bugzilla.org/download/参考：https://bugzilla.mozilla.org/show_bug.cgi？id=1074812Bugzilla 全系更新发布，修复重要漏洞 http://www.linuxidc.com/Linux/2014-10/107700.htmFedora 16 安装 Bugzilla 4.2 http://www.linuxidc.com/Linux/2012-04/58270.htmBugzilla安装过程 http://www.linuxidc.com/Linux/2014-03/97639.htmDebian7&Ubuntu 13.10下配置Bugzilla http://www.linuxidc.com/Linux/2014-03/97640.htmBugzilla 的详细介绍：请点这里
Bugzilla 的下载地址：请点这里