Revelación de información sensible en Bugzilla

rédéric Buclin y Byron Jones han descubierto dos vulnerabilidades que afectan a Bugzilla y que son debidas a errores de falta de comprobación de permisos.

• La primera de ellas se produce al tener en cuenta los permisos del remitente pero no los del destinatario de un 'bugmail' (email en formato HTML referente a una incidencia o bug). En dicho correo se incluyen enlaces a los identificadores de las incidencias y de los adjuntos, además de un resumen de ellos si el que envía tiene permisos para verlos. De esta forma, información reservada puede ser revelada al destinatario del correo aunque éste disfrute de menos permisos que el remitente. Esta vulnerabilidad ha sido identificada como CVE-2012-1968 y afecta a las ramas 4.x de Bugzilla.

• La otra vulnerabilidad ocurre cuando un usuario que tiene permisos para ver un archivo adjunto privado, menciona dicho adjunto en el comentario público de una incidencia. El error se encuentra en la función 'get_attachment_link' que no valida los permisos de los usuarios para mostrar la descripción del adjunto. El identificador CVE-2012-1969 se ha asignado a esta vulnerabilidad que afecta a las versiones 2.x, 3.x, y 4.x.

Se encuentran disponibles para su descarga las versiones 3.6.10, 4.0.7, 4.2.2 y 4.3.2 que solucionan las vulnerabilidades anteriores.

Más información:

Bugzilla 4.3.1, 4.2.1, 4.0.6, and 3.6.9 Security Advisory http://www.bugzilla.org/security/3.6.9/

(CVE-2012-1968) [SECURITY] HTML bugmail exposes information about restricted bugs https://bugzilla.mozilla.org/show_bug.cgi?id=777398

(CVE-2012-1969) [SECURITY] The description of private attachments is still visible to unauthorized users when mentioned in a comment https://bugzilla.mozilla.org/show_bug.cgi?id=777586