Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Software (https://www.dedies-board.de/wbb2/board.php?boardid=15)
--- Software News (https://www.dedies-board.de/wbb2/board.php?boardid=24)
---- Softwarenews-Archiv (https://www.dedies-board.de/wbb2/board.php?boardid=38)
----- Bugzilla schließt Sicherheitslücken (https://www.dedies-board.de/wbb2/thread.php?threadid=1245)

Geschrieben von dedie am 23.02.2006 um 18:11:

  Bugzilla schließt Sicherheitslücken

Im populären Bugtracking-System Bugzilla wurden einige Schwachstellen entdeckt, über die Angreifer SQL-Befehle einschleusen, Cross-Site-Scripting betreiben oder vertrauliche Informationen ausspähen könnten. In jetzt verfügbaren, neuen Versionen beheben die Entwickler die Fehler.

Durch das Senden von präparierten URLs etwa über Anklicken von Links in Bugzilla-Einträgen oder E-Mails an Bugzilla-Server ist es möglich, eine Fehlermeldung zu provozieren, die ihrerseits mit JavaScript die aufgerufene URL in die daraufhin ausgelieferte Fehlerseite einbindet. Beim Verarbeiten der präparierten URLs werden diese jedoch nicht korrekt gefiltert, sodass in die URL eingebautes JavaScript in dem Benutzer-Browser zur Ausführung kommen kann. Dies funktioniert jedoch nur mit nicht-RFC-konformen Browsern wie Internet Explorer 6 SP2 oder Konqueror 3.2, die beispielsweise ein "<" bei der Übertragung an den Server nicht in "%3C" umwandeln; dem Standard gehorchend und somit immun sind beispielsweise Firefox 1.x, Mozilla 1.7.5, Camino 0.8.2, Netscape 7.2 oder Safari 1.2.4.

Ein weiterer Fehler ermöglicht beliebigen Benutzern, Flags von Bugs zu ändern, auf die er eigentlich keinen Zugriff hat. Das Skript process_bug.cgi überprüft nicht, ob die übergebene Bug-ID mit der Flag-ID in den per URL übergebenen Parametern übereinstimmt. So könnten Angreifer auch Fehlertickets schließen oder Fehlerzusammenfassungen einsehen, die nicht für ihre Augen bestimmt waren.

Titel von vertraulichen (privaten) Fehlermeldungen waren in älteren Versionen von jedermann für kurze Zeit einzusehen, da der Code in Bugzilla zuerst den Fehlereintrag in die Datenbank eingestellt hat und anschließend das privat-Flag setzte. Der Zeitraum für die allgemeine Sichtbarkeit hängt von der Reakionszeit der Datenbank ab, laut den Bugzilla-Entwicklern liegt sie typischerweise unter einer Sekunde.

Betroffen von den Schwachstellen sind Bugzilla-Versionen vor 2.18.5 sowie 2.20 und ältere. Version 2.18.5 sowie 2.20.1 schließen die Lücken; das Update auf 2.20.1 ist auch als Patch gegen Version 2.20 erhältlich.

QUELLE