Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Grave vulnerabilidad en Bugzilla ya parcheada




En los proyectos de software del sistema Bugzilla que usan líderes como Mozilla, Linux Kernel, Apache Proyecto, Red Hat y Open Office para ver errores de seguimiento y vulnerabilidades de uso, se ha descubierto una grave vulnerabilidad que ya ha sido parcheada.







Bugzilla CVE-2015-4499: 


Con el uso de la vulnerabilidad, un atacante podría iniciar la sesión en el sistema y, por ejemplo, ver los errores y problemas sensibles ver que no se han parcheado. Recientemente se anunció que había recibido un atacante acceder al sistema de Bugzilla, Mozilla y así apoderarse de información sobre una vulnerabilidad de Firefox para el que no hay parche de seguridad y todavía no estaba disponible. Esta información, el atacante utiliza para los usuarios de Firefox para atacar. Un método común dentro de Bugzilla para proporcionar acceso de usuario se basa en el correo electrónico.


Ejemplos de empresas que usan BugZilla


Proyectos de Software Libre

Distribuciones de Linux



Si un usuario tiene una dirección de correo electrónico de una organización en particular va a ser considerado como un usuario de confianza. En el caso de Mozilla implica los usuarios que, por ejemplo, una dirección de correo electrónico de eliminación @ mozilla.com. La vulnerabilidad descubierto ahora permite a un atacante para cualquier dominio va a crear una cuenta de Bugzilla, incluso si no tienen acceso a la cuenta de correo electrónico o dominio.




El atacante puede utilizar la cuenta creada para iniciar la sesión y en función de los derechos otorgados a los usuarios de un dominio particular se configurar el acceso todavía no puede corregir los errores y otra información. La vulnerabilidad fue reportada el lunes, 7 de septiembre en Mozilla, que es responsable del desarrollo de Bugzilla. El 10 Jueves, septiembre, apareció una actualización.


Las empresas que usen Bugzilla en combinación con los derechos de uso basados en correo electrónico y esta actualización todavía no se hay  instalado se les aconseja dejar el sistema de derecho sin conexión hasta que se despliegue el parche. Además, los registros y las listas creadas por el usuario se deben revisar para ver si los usuarios se han creado a través de la vulnerabilidad, es lo que aconseja a PerimeterX, la compañía que descubrió la vulnerabilidad.


Fuente:
http://blog.perimeterx.com/bugzilla-cve-2015-4499

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.