Release of Bugzilla 3.4.2, 3.2.5, and 3.0.9

少し古いニュースにはなりますが、
Bugzilla 3.4.2, 3.2.5 と 3.0.9 がそれぞれリリースされたようです。問題の詳細は下記を閲覧してください。
http://www.bugzilla.org/security/3.0.8/

以下は参考訳です。なお、今回のバグの詳細は上記リンクの原文をご覧ください。

2009/9/11

Summary
=======
Bugzilla は、多くのソフトウェア・プロジェクトによって使用されている、
ウェブベースのバグトラッキング・システムです。

* Bugzilla で2つの SQL injection 攻撃が見つかりました。
1つは3.4のシリーズしか影響しませんが、もう片方が3.0、3.2、および3.4のシリーズに影響します。
これらはすぐにパッチしなければならない非常に重大な脆弱性です。

* When a user would change his password, his new password would
be exposed in the URL field of the browser if he logged in right
after changing his password.

(自信が無いので参考訳)
* ユーザがパスワードを変える直後にログインすると、
新しいパスワードがブラウザの URL に含まれるため暴露されてしまう(と言う問題がある)。

すべての影響を受けるバージョンからすぐにアップグレードするよう奨励されます。

Vulnerability Solutions
=======================
これらの問題のためのフィックスは 3.4.2、3.2.5、および 3.0.9 のリリースに含まれています。

これらのバージョンにアップグレードすることで脆弱性から保護されるでしょう。

理由があってこれらのバージョンにアップグレードできず、個別の脆弱性にパッチしたいなら、
それぞれのバグ報告の Reference URL に個々の問題に対処可能なパッチがあります。

Note: また、あなたが (未発表) の Bugzilla 3.5 のシリーズを実行しているなら、
それはこれらの脆弱性を回避するためには CVS からアップデートする必要があるでしょう。

完全なリリースダウンロード、旧バージョンから Bugzilla をアップグレードさせるパッチ、
および CVS アップグレードの方法は以下で確認できます。
http://www.bugzilla.org/download/

広告
カテゴリー: セキュリティ パーマリンク

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中