English

◀◁ 뒤로 취약점ID 22646 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 Bugzilla 버그 추적 시스템의 버전에 따르면 해당 소프트웨어에는 다중의 취약점들이 존재한다. Bugzilla는 Perl과 MySQL에 기반을 두고 있는 웹 기반의 버그 추적 시스템이다. Bugzilla 4.4에서 4.4.6까지의 버전들은 다음과 같은 취약점들에 취약하다: - 새로운 comment가 내부그룹에 private으로 표시되고, flag가 동일 트랜잭션에서 세팅되면 comment는 내부그룹이 아닌 flag 수령자에게조차 보이게 되는 취약점이 존재한다. (CVE-2014-1571) - 외부 공격자가 새 Bugzilla 계정을 만들 때 특정 파라미터를 무시할 수 있는 취약점이 존재한다. 이로 인해 처음에 설정된 e-mail과는 다른 계정이 생성될 수 있으며, 사용자가 그룹의 정규 표현 설정에 시반한 특정 그룹에 포함되도록 할 수 있다. 이 문제는 공격자의 권한 상승으로 이어진다. (CVE-2014-1572) - CGI 인수를 처리할 때 에러가 발생한다. 이로 인해 공격자는 크로스 사이트 스크립트 공격을 통해 중요한 정보에 접근할 수 있다. (CVE-2014-1573) * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 웹 서버에 설치되어 있는 Bugzilla의 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://www.bugzilla.org/security/4.0.14/ http://www.securityfocus.com/archive/1/533628/30/0/threaded * 영향을 받는 플랫폼: Mozilla, Bugzilla 4.4 에서 4.4.6 까지 Any operating system Any version 해결책 Bugzilla 다운로드 웹 사이트인 http://www.bugzilla.org/download/ 에서 구할 수 있는 Bugzilla의 가장 최신 버전(4.4.6 혹은 이후)으로 업그레이드 하여야 한다. 관련 URL CVE-2014-1571,CVE-2014-1572,CVE-2014-1573 (CVE) 관련 URL 70256,70257,70258 (SecurityFocus) 관련 URL (ISS)