La société Check Point Software Technologies, spécialisée dans la sécurité d'internet, a découvert une faille assez alarmante dans Bugzilla, la célèbre plateforme de suivi de bugs de la fondation Mozilla.Selon leur rapport envoyé le 30 septembre dernier à la fondation Mozilla, cette vulnérabilité touche le système de privilèges du célèbre logiciel de bug-tracking. Elle permet aux pirates de contourner la phase de vérification des emails lors de la création de nouveaux comptes, ce qui leur donne la possibilité de créer des comptes avec n'importe quelle adresse mail, et aussi d'accéder à des informations privées, qui ne devraient normalement pas être accessibles au grand public.
De plus, Mozilla confirme que la faille existe dans toutes les versions de Bugzilla à partir de la version 2.23.3 publiée en 2006. Cette information est d'autant plus alarmante lorsqu'on sait que ce logiciel est largement utilisé dans des projets publics et privés, et même des projets open source, incluant Apache, Firefox, le noyau Linux, OpenSSH, Eclipse, KDE, Gnome, ainsi qu'un nombre important de distributions Linux.
Cependant, l'équipe de Bugzilla rassure ses utilisateurs : un patch a été publié hier, le 6 octobre 2014, pour corriger cette faille de sécurité. De plus, ce patch permet aussi de corriger d'autres failles découvertes, dont deux bugs tolérant le Cross-Site Scripting et l'injection de code dans les rapports de recherches.
Bien que les ingénieurs de Mozilla déclarent n'avoir trouvé aucune preuve que la vulnérabilité eût été exploitée par des pirates, il est fortement conseillé à tous les utilisateurs de Bugzilla d'installer le patch afin éviter tout risque inutile.
Télécharger le patch de sécurité du 6 octobre 2014 (versions 4.0.15, 4.2.11, 4.4.6 et 4.5.6) Télécharger la dernière version stable de BugzillaSource : Blog de Check Point Software Technologies, Rapport de sécurité de Bugzilla
Et vous ?
Que pensez-vous des conséquences de cette faille de sécurité si elle n'avait pas été découverte ? Que pensez-vous de la réactivité de Mozilla face à ce genre de problèmes ? 
Envoyé par rupteur
