Bugzilla : une faille de sécurité découverte dans le logiciel de bug-tracking
Elle existe depuis 2006 et concerne le système de gestion de privilèges
Le 2014-10-07 21:02:02, par Amine Horseman, Expert éminent sénior
La société Check Point Software Technologies, spécialisée dans la sécurité d'internet, a découvert une faille assez alarmante dans Bugzilla, la célèbre plateforme de suivi de bugs de la fondation Mozilla.
Selon leur rapport envoyé le 30 septembre dernier à la fondation Mozilla, cette vulnérabilité touche le système de privilèges du célèbre logiciel de bug-tracking. Elle permet aux pirates de contourner la phase de vérification des emails lors de la création de nouveaux comptes, ce qui leur donne la possibilité de créer des comptes avec n'importe quelle adresse mail, et aussi d'accéder à des informations privées, qui ne devraient normalement pas être accessibles au grand public.
De plus, Mozilla confirme que la faille existe dans toutes les versions de Bugzilla à partir de la version 2.23.3 publiée en 2006. Cette information est d'autant plus alarmante lorsqu'on sait que ce logiciel est largement utilisé dans des projets publics et privés, et même des projets open source, incluant Apache, Firefox, le noyau Linux, OpenSSH, Eclipse, KDE, Gnome, ainsi qu'un nombre important de distributions Linux.
Cependant, l'équipe de Bugzilla rassure ses utilisateurs : un patch a été publié hier, le 6 octobre 2014, pour corriger cette faille de sécurité. De plus, ce patch permet aussi de corriger d'autres failles découvertes, dont deux bugs tolérant le Cross-Site Scripting et l'injection de code dans les rapports de recherches.
Bien que les ingénieurs de Mozilla déclarent n'avoir trouvé aucune preuve que la vulnérabilité eût été exploitée par des pirates, il est fortement conseillé à tous les utilisateurs de Bugzilla d'installer le patch afin éviter tout risque inutile.
Source : Blog de Check Point Software Technologies, Rapport de sécurité de Bugzilla
Et vous ?
Selon leur rapport envoyé le 30 septembre dernier à la fondation Mozilla, cette vulnérabilité touche le système de privilèges du célèbre logiciel de bug-tracking. Elle permet aux pirates de contourner la phase de vérification des emails lors de la création de nouveaux comptes, ce qui leur donne la possibilité de créer des comptes avec n'importe quelle adresse mail, et aussi d'accéder à des informations privées, qui ne devraient normalement pas être accessibles au grand public.
De plus, Mozilla confirme que la faille existe dans toutes les versions de Bugzilla à partir de la version 2.23.3 publiée en 2006. Cette information est d'autant plus alarmante lorsqu'on sait que ce logiciel est largement utilisé dans des projets publics et privés, et même des projets open source, incluant Apache, Firefox, le noyau Linux, OpenSSH, Eclipse, KDE, Gnome, ainsi qu'un nombre important de distributions Linux.
Cependant, l'équipe de Bugzilla rassure ses utilisateurs : un patch a été publié hier, le 6 octobre 2014, pour corriger cette faille de sécurité. De plus, ce patch permet aussi de corriger d'autres failles découvertes, dont deux bugs tolérant le Cross-Site Scripting et l'injection de code dans les rapports de recherches.
Bien que les ingénieurs de Mozilla déclarent n'avoir trouvé aucune preuve que la vulnérabilité eût été exploitée par des pirates, il est fortement conseillé à tous les utilisateurs de Bugzilla d'installer le patch afin éviter tout risque inutile.
Source : Blog de Check Point Software Technologies, Rapport de sécurité de Bugzilla
Et vous ?
-
rupteurMembre avertitant pis, je m'expose à des évaluations négatives mais je me lance.
Pourquoi les trous de sécurité des autres acteurs informatiques ne sont-ils pas relayés avec autant de ferveur ?
Etant abonné aux bulletins de sécurité du CERTA, je vois régulièrement des problemes chez microsoft,oracle,apple,ibm,adobe,citrix,....
mais curieusement pas d'article sur developpez.le 08/10/2014 à 12:01 -
Hinault RomaricResponsable .NETLes vulnérabilités dans Internet Explorer auraient doublé la première moitié de 2014.
Plusieurs actualités sur le Patch Tuedays (puisque c'est au moment de la publication des mises à jour que Microsoft publie les bulletins de securité sur ces failles).
La faille dans iCloud.
Le botnet iWorm sur Mac, etc. De tels exemples, j'en ai plusieurs sur ces derniers mois.
La finalité n'est pas de promouvoir ou décrédibiliser un produit, mais d'informer sur la faille et sur le fait que des correctifs sont disponibles, pour encourager des mises à jour. Qui plus est si l'outil est très utilisé par les développeursle 08/10/2014 à 16:36 -
miaousMembre avertiPeut-être parce c'est un outil orienté développeur qui doit être utiliser par un grand nombre de lecteur /visiteur de developpez.com.
Peut-être aussi parce que la mise à jour n'est pas automatique.le 08/10/2014 à 12:20 -
Marc3001Membre éprouvéJ'imagine que le fait que la faille existe depuis 8 ans rend l'info un peu plus importante que les autres....le 08/10/2014 à 14:02
-
GHetfieldNouveau Candidat au ClubEncore une faille de sécurité critique de plus ! Je pensais devoir attendre 2-3 mois mais ca a ete plus vite que prevu.De plus, Mozilla confirme que la faille existe dans toutes les versions de Bugzilla à partir de la version 2.23.3 publiée en 2006. Cette information est d'autant plus alarmante lorsqu'on sait que ce logiciel est largement utilisé dans des projets publics et privés, et même des projets open source, incluant Apache, Firefox, le noyau Linux, OpenSSH, Eclipse, KDE, Gnome, ainsi qu'un nombre important de distributions Linux.
il doit y avoir des développeurs de Vista dans la communauté c'est pas possible autrement
Il va falloir payer les gens pour qu'ils utilisent vos logiciel maintenantle 09/10/2014 à 22:57