发布日期:2010-06-24
更新日期:2010-06-28
受影响系统:
Mozilla Bugzilla 3.x
Mozilla Bugzilla 2.x
不受影响系统:
Mozilla Bugzilla 3.7.1
Mozilla Bugzilla 3.6.1
Mozilla Bugzilla 3.4.7
Mozilla Bugzilla 3.2.7
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 41144
CVE ID: CVE-2010-0180
Bugzilla是很多软件项目都在使用的基于Web的BUG跟踪系统。
如果在localconfig文件中将$use_suexec设置为1,则localconfig文件的权限就会被设置为checksetup.pl完全可读,这允许所有拥有本地shell访问的用户都可以查看文件内容,包括数据库口令和用于防范CSRF的site_wide_secret变量。
<*来源:Daniel Piddock
链接:http://secunia.com/advisories/40300/
http://www.bugzilla.org/security/3.2.6/
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
安全危机!半数家用企
病毒木马借“闫凤娇32
魔兽艳照门叶音英蹿红
Ubuntu 6.06-9.10内核
警惕病毒借兽兽门视频
兽兽门:谨防下载伪装
系统安全:Windows与L
分析称谷歌Chrome OS