发布日期:2012-08-31
更新日期:2012-09-04受影响系统:
Bugzilla Bugzilla 4.x
Bugzilla Bugzilla 3.x
Bugzilla Bugzilla 2.x
描述:
--------------------------------------------------------------------------------
CVE ID: CVE-2012-3981Bugzilla是一个开源的缺陷跟踪系统,它可以管理软件开发中缺陷的提交,修复,关闭等整个生命周期。Bugzilla 中存在安全漏洞,可允许恶意用户泄露敏感信息或操作某些数据。1)通过用户名传递的某些输入没有正确转义即用在LDAP查询中,可被利用注入LDAP语句。此漏洞位于版本 2.12-3.6.10、3.7.1-4.0.7、4.1.1-4.2.2、4.3.1-4.3.22)应用没有限制目录访问扩展,可被利用泄露模板源代码。此漏洞位于版本2.23.2-3.6.10、3.7.1-4.0.7、4.1.1-4.2.2、4.3.1-4.3.2<*来源:Frédéric Buclin (LpSolit@gmail.com)
链接:http://secunia.com/advisories/50433/
http://www.bugzilla.org/security/3.6.10/
*>建议:
--------------------------------------------------------------------------------
厂商补丁:Bugzilla
--------
Bugzilla已经为此发布了一个安全公告(3.6.10)以及相应补丁:3.6.10:4.3.2, 4.2.2, 4.0.7, and 3.6.10 Security Advisory链接:http://www.bugzilla.org/security/3.6.10/Mozilla Firefox调试程序安全限制绕过漏洞Linux Kernel "clock_gettime()"本地拒绝服务漏洞相关资讯 Bugzilla安全漏洞 模板泄露漏洞
- Bugzilla "id"参数跨站脚本和信息 (02/22/2013 08:59:16)
- Bugzilla YUI swfstore.swf 跨站脚 (11/16/2012 06:40:06)
- Bugzilla 错误消息信息泄露漏洞 (11/15/2012 19:09:49)
| - Bugzilla field-events.js.tmpl产 (11/16/2012 06:41:56)
- Bugzilla tabular报表字段值错误转 (11/15/2012 19:10:14)
- Bugzilla User.get()组信息泄露漏 (11/15/2012 19:09:13)
|
本文评论 查看全部评论 (0)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管理人员有权保留或删除其管辖留言中的任意内容
- 本站有权在网站内转载或引用您的评论
- 参与本评论即表明您已经阅读并接受上述条款
|
易网时代-编程资源站