除蟲工具Bugzilla曝零日漏洞,150個大型開源項目受影響
責編:admin |2014-10-09 14:01:17安全公司Check Point近日利用Perl編程語言中發現的新型缺陷成功入侵了流行的bug追蹤工具——Bugzilla,并成功在管理員群組中增加了四個用戶賬號,獲得最高權限后發現了更多漏洞。
目前大約有150個大型軟件開發和開源項目,包括Mozilla、OpenOffice、RedHat甚至Linux內核,都使用Bugzilla來追蹤產品漏洞和缺陷。
本周一,Bugzilla向公眾發布了補丁,但在上周接獲Check Point的私下漏洞報告后,Bugzilla已經第一時間通知了上述大型開源項目。
根據提交給Bugzilla的漏洞報告,最新發現的漏洞并非SQL注入漏洞,而是全新的安全缺陷。攻擊者可以利用Bugzilla的漏洞修改用戶創建流程中的任意數據域,甚至包括登錄用戶名,這意味著攻擊者可以將普通用戶名(郵件地址),修改為匹配管理員郵件地址后綴的字符串正則表達式,從而獲得權限提升。Mozilla負責Bugzilla項目的開發者Gervase Markham指出,Bugzilla的產品代碼中一共有15處地方存在安全問題,其中有4處很可能已經被黑客利用,他呼吁任何運行Perl web應用的IT人員盡快審計Perl語言漏洞。