English
¢¸¢· µÚ·Î
Ãë¾àÁ¡ID 22647
À§Çèµµ 40
Æ÷Æ® 80, ...
ÇÁ·ÎÅäÄÝ TCP
ºÐ·ù CGI
»ó¼¼¼³¸í Bugzilla ¹ö±× ÃßÀû ½Ã½ºÅÛÀÇ ¹öÀü¿¡ µû¸£¸é ÇØ´ç ¼ÒÇÁÆ®¿þ¾î¿¡´Â ´ÙÁßÀÇ Ãë¾àÁ¡µéÀÌ Á¸ÀçÇÑ´Ù. Bugzilla´Â Perl°ú MySQL¿¡ ±â¹ÝÀ» µÎ°í ÀÖ´Â À¥ ±â¹ÝÀÇ ¹ö±× ÃßÀû ½Ã½ºÅÛÀÌ´Ù. Bugzilla 4.5¿¡¼­ 4.5.6±îÁöÀÇ ¹öÀüµéÀº ´ÙÀ½°ú °°Àº Ãë¾àÁ¡µé¿¡ Ãë¾àÇÏ´Ù:

- »õ·Î¿î comment°¡ ³»ºÎ±×·ì¿¡ privateÀ¸·Î Ç¥½ÃµÇ°í, flag°¡ µ¿ÀÏ Æ®·£Àè¼Ç¿¡¼­ ¼¼ÆõǸé comment´Â ³»ºÎ±×·ìÀÌ ¾Æ´Ñ flag ¼ö·ÉÀÚ¿¡°ÔÁ¶Â÷ º¸ÀÌ°Ô µÇ´Â Ãë¾àÁ¡ÀÌ Á¸ÀçÇÑ´Ù. (CVE-2014-1571)
- ¿ÜºÎ °ø°ÝÀÚ°¡ »õ Bugzilla °èÁ¤À» ¸¸µé ¶§ ƯÁ¤ ÆĶó¹ÌÅ͸¦ ¹«½ÃÇÒ ¼ö ÀÖ´Â Ãë¾àÁ¡ÀÌ Á¸ÀçÇÑ´Ù. ÀÌ·Î ÀÎÇØ Ã³À½¿¡ ¼³Á¤µÈ e-mail°ú´Â ´Ù¸¥ °èÁ¤ÀÌ »ý¼ºµÉ ¼ö ÀÖÀ¸¸ç, »ç¿ëÀÚ°¡ ±×·ìÀÇ Á¤±Ô Ç¥Çö ¼³Á¤¿¡ ½Ã¹ÝÇÑ Æ¯Á¤ ±×·ì¿¡ Æ÷ÇԵǵµ·Ï ÇÒ ¼ö ÀÖ´Ù. ÀÌ ¹®Á¦´Â °ø°ÝÀÚÀÇ ±ÇÇÑ »ó½ÂÀ¸·Î À̾îÁø´Ù. (CVE-2014-1572)
- CGI Àμö¸¦ ó¸®ÇÒ ¶§ ¿¡·¯°¡ ¹ß»ýÇÑ´Ù. ÀÌ·Î ÀÎÇØ °ø°ÝÀÚ´Â Å©·Î½º »çÀÌÆ® ½ºÅ©¸³Æ® °ø°ÝÀ» ÅëÇØ Áß¿äÇÑ Á¤º¸¿¡ Á¢±ÙÇÒ ¼ö ÀÖ´Ù. (CVE-2014-1573)

* ¾Ë¸²: ÀÌ Á¡°ËÇ׸ñÀº ÀÌ Ãë¾àÁ¡À» Á¡°ËÇϱâ À§ÇØ ÇØ´ç À¥ ¼­¹ö¿¡ ¼³Ä¡µÇ¾î ÀÖ´Â BugzillaÀÇ ¹öÀü Á¤º¸¸¸À» È®ÀÎÇÑ´Ù. µû¶ó¼­ °ÅÁþ ¾ç¼º¹ÝÀÀ(False Positive)À» º¸ÀÏ ¼ö ÀÖ´Ù.

* Âü°í »çÀÌÆ®:
http://www.bugzilla.org/security/4.0.14/
http://www.securityfocus.com/archive/1/533628/30/0/threaded

* ¿µÇâÀ» ¹Þ´Â Ç÷§Æû:
Mozilla, Bugzilla 4.5 ¿¡¼­ 4.5.6 ±îÁö
Any operating system Any version
ÇØ°áÃ¥ Bugzilla ´Ù¿î·Îµå À¥ »çÀÌÆ®ÀÎ http://www.bugzilla.org/download/ ¿¡¼­ ±¸ÇÒ ¼ö ÀÖ´Â BugzillaÀÇ °¡Àå ÃֽŠ¹öÀü(4.5.6 ȤÀº ÀÌÈÄ)À¸·Î ¾÷±×·¹À̵å ÇÏ¿©¾ß ÇÑ´Ù.
°ü·Ã URL CVE-2014-1571,CVE-2014-1572,CVE-2014-1573 (CVE)
°ü·Ã URL 70256,70257,70258 (SecurityFocus)
°ü·Ã URL (ISS)