| 网站首页 | 下载中心 | 产品展示 | 技术文章 | 技术论坛 | VIP专区 | 
您现在的位置: 南域剑盟 >> 技术文章 >> 最新动态 >> 文献正文
专 题 栏 目
最 新 热 门
最 新 推 荐
相 关 文 章
没有相关文献
除虫工具Bugzilla曝零日漏洞           ★★★
除虫工具Bugzilla曝零日漏洞,150个大型开源项目受影响
除虫工具Bugzilla曝零日漏洞
作者:佚名 文章来源:网络 点击数: 更新 时间:2014-10-09 22:24:09

安全公司Check Point近日利用Perl编程语言中发现的 新型缺陷 成功入侵了流行的bug追踪工具——Bugzilla,并成功在管理员群组中增加了四个用户账号,获得最高权限后发现了更多漏洞。

目前大约有150个大型软件开发和开源项目,包括Mozilla、OpenOffice、RedHat甚至Linux内核,都使用Bugzilla来追踪产品漏洞和缺陷。

本周一,Bugzilla向公众发布了补丁,但在上周接获Check Point的私下漏洞报告后,Bugzilla已经第一时间通知了上述大型开源项目。

根据提交给Bugzilla的 漏洞报告 ,最新发现的漏洞并非SQL注入漏洞,而是全新的安全缺陷。攻击者可以利用Bugzilla的漏洞修改用户创建流程中的任意数据域,甚至包括登录用户名,这意味着攻击者可以将普通用户名(邮件地址),修改为匹配管理员邮件地址后缀的字符串正则表达式,从而获得权限提升。Mozilla负责Bugzilla项目的开发者Gervase Markham指出,Bugzilla的产品代码中一共有15处地方存在安全问题,其中有4处很可能已经被黑客利用,他呼吁任何运行Perl web应用的IT人员尽快审计Perl语言漏洞。

文献录入:admin    责任编辑:admin 
  • 上一篇文献:

  • 下一篇文献:
  • 【字体: 】【加入收藏】【告诉好友】【打印此文】【关闭窗口