
Selon leur rapport envoyé le 30 septembre dernier à la fondation Mozilla, cette vulnérabilité touche le système de privilèges du célèbre logiciel de bug-tracking. Elle permet aux pirates de contourner la phase de vérification des emails lors de la création de nouveaux comptes, ce qui leur donne la possibilité de créer des comptes avec n'importe quelle adresse mail, et aussi d'accéder à des informations privées, qui ne devraient normalement pas être accessibles au grand public.
De plus, Mozilla confirme que la faille existe dans toutes les versions de Bugzilla à partir de la version 2.23.3 publiée en 2006. Cette information est d'autant plus alarmante lorsqu'on sait que ce logiciel est largement utilisé dans des projets publics et privés, et même des projets open source, incluant Apache, Firefox, le noyau Linux, OpenSSH, Eclipse, KDE, Gnome, ainsi qu'un nombre important de distributions Linux.
Cependant, l'équipe de Bugzilla rassure ses utilisateurs : un patch a été publié hier, le 6 octobre 2014, pour corriger cette faille de sécurité. De plus, ce patch permet aussi de corriger d'autres failles découvertes, dont deux bugs tolérant le Cross-Site Scripting et l'injection de code dans les rapports de recherches.
Bien que les ingénieurs de Mozilla déclarent n'avoir trouvé aucune preuve que la vulnérabilité eût été exploitée par des pirates, il est fortement conseillé à tous les utilisateurs de Bugzilla d'installer le patch afin éviter tout risque inutile.


Source : Blog de Check Point Software Technologies, Rapport de sécurité de Bugzilla
Et vous ?

