Grave vulnerabilidad en Bugzilla ya parcheada

En los proyectos de software del sistema Bugzilla que usan líderes como Mozilla, Linux Kernel, Apache Proyecto, Red Hat y Open Office para ver errores de seguimiento y vulnerabilidades de uso, se ha descubierto una grave vulnerabilidad que ya ha sido parcheada.

Bugzilla CVE-2015-4499: 

Con el uso de la vulnerabilidad, un atacante podría iniciar la sesión en el sistema y, por ejemplo, ver los errores y problemas sensibles ver que no se han parcheado. Recientemente se anunció que había recibido un atacante acceder al sistema de Bugzilla, Mozilla y así apoderarse de información sobre una vulnerabilidad de Firefox para el que no hay parche de seguridad y todavía no estaba disponible. Esta información, el atacante utiliza para los usuarios de Firefox para atacar. Un método común dentro de Bugzilla para proporcionar acceso de usuario se basa en el correo electrónico.

Ejemplos de empresas que usan BugZilla

Proyectos de Software Libre

• Mozilla: https://bugzilla.mozilla.org/
• Linux Kernel: http://bugzilla.kernel.org/
• GNOME: http://bugzilla.gnome.org/
• KDE: http://bugs.kde.org/
• Apache Project: https://bz.apache.org/bugzilla/
• LibreOffice: https://bugs.documentfoundation.org/
• Open Office: https://bz.apache.org/ooo/
• Eclipse: http://bugs.eclipse.org/bugs/

Distribuciones de Linux

• Red Hat: https://bugzilla.redhat.com/
• Mandriva: http://qa.mandriva.com/
• Gentoo: http://bugs.gentoo.org/
• Novell: https://bugzilla.novell.com/

Si un usuario tiene una dirección de correo electrónico de una organización en particular va a ser considerado como un usuario de confianza. En el caso de Mozilla implica los usuarios que, por ejemplo, una dirección de correo electrónico de eliminación @ mozilla.com. La vulnerabilidad descubierto ahora permite a un atacante para cualquier dominio va a crear una cuenta de Bugzilla, incluso si no tienen acceso a la cuenta de correo electrónico o dominio.

El atacante puede utilizar la cuenta creada para iniciar la sesión y en función de los derechos otorgados a los usuarios de un dominio particular se configurar el acceso todavía no puede corregir los errores y otra información. La vulnerabilidad fue reportada el lunes, 7 de septiembre en Mozilla, que es responsable del desarrollo de Bugzilla. El 10 Jueves, septiembre, apareció una actualización.


Las empresas que usen Bugzilla en combinación con los derechos de uso basados en correo electrónico y esta actualización todavía no se hay  instalado se les aconseja dejar el sistema de derecho sin conexión hasta que se despliegue el parche. Además, los registros y las listas creadas por el usuario se deben revisar para ver si los usuarios se han creado a través de la vulnerabilidad, es lo que aconseja a PerimeterX, la compañía que descubrió la vulnerabilidad.


Fuente:
http://blog.perimeterx.com/bugzilla-cve-2015-4499