English

◀◁ 뒤로 취약점ID 21643 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 Bugzilla 버그 추적 시스템의 버전에 따르면 해당 소프트웨어에는 두가지 정보 노출 취약점들(2)이 존재한다. Bugzilla는 Perl과 MySQL에 기반을 두고 있는 웹 기반의 버그 추적 시스템이다. Bugzilla 2.17.1에서 2.18.1까지 그리고 2.19.1에서 2.19.3 까지의 버전들은 다음과 같은 두가지 취약점들에 취약하다: 1) 원격지의 공격자는 잘 조작된 'process_bug.cgi' URL을 보내 공격자가 액세스할 수 없는 어떤 버그에 대한 플래그(flag)를 수정할 수 있다. 스크립트는 그 플래그의 수정이 요청한 버그와 관련 있는지를 검증하는 데 오류를 가지고 있다. 2) Private 버그로 들어가질 때 원격지의 공격자는 MySQL 복제(replication)가 진행 중인 동안 요약 정보나 Private 버그의 제목을 얻어낼 수 있다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 웹 서버에 설치되어 있는 Bugzilla의 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://www.bugzilla.org/security/2.18.1/ http://archives.neohapsis.com/archives/bugtraq/2005-07/0114.html http://www.securitytracker.com/alerts/2005/Jul/1014428.html * 영향을 받는 플랫폼: Mozilla, Bugzilla 2.17.1 에서 2.18.1 까지 Mozilla, Bugzilla 2.19.1 에서 2.19.3 까지 모든 운영체제 모든 버전 해결책 Bugzilla 다운로드 웹 사이트인 http://www.bugzilla.org/download/ 에서 구할 수 있는 Bugzilla의 가장 최신 버전(2.18.2 혹은 2.20rc1 혹은 이후)으로 업그레이드 하여야 한다. 관련 URL CVE-2005-2173,CVE-2005-2174 (CVE) 관련 URL 14198,14200 (SecurityFocus) 관련 URL 21316,21319 (ISS)