检测

Mandriva Linux 安全公告:bugzilla (MDVSA-2013:285)

medium Nessus 插件 ID 71099

语言:

简介

远程 Mandriva Linux 主机缺少一个或多个安全更新。

描述

在 bugzilla 中发现并修正了多种漏洞:

在低于 4.4.1 的 Bugzilla 4.4.x 中,process_bug.cgi 中的跨站请求伪造 (CSRF) 漏洞允许远程攻击者通过涉及空中冲突标记的矢量劫持请求修改缺陷的任意用户的认证 (CVE-2013-1733)。

在 Bugzilla 2.x、3.x、低于 4.0.11 的 4.0.x、4.1.x 和低于 4.2.7 的 4.2.x 以及 4.3.x 和低于 4.4.1 的 4.4.x 中,attachment.cgi 中的跨站请求伪造 (CSRF) 漏洞允许远程攻击者通过更新操作劫持提交附件更改请求的任意用户的认证 (CVE-2013-1734)。

在 Bugzilla 2.x、3.x、低于 4.0.11 的 4.0.x、4.1.x 和低于 4.2.7 的 4.2.x 以及 4.3.x 和低于 4.4.1 的 4.4.x 中,editflagtypes.cgi 中的跨站脚本 (XSS) 漏洞允许远程攻击者通过 (1) id 或 (2) sortkey 参数注入任意 Web 脚本或 HTML (CVE-2013-1742)。

在 Bugzilla 4.1.x 和低于 4.2.7 的 4.2.x 以及 4.3.x 和低于 4.4.1 的 4.4.x 中,report.cgi 中的多种跨站脚本 (XSS) 漏洞允许远程攻击者通过构建表格式报告期间未正确处理的字段值注入任意 Web 脚本或 HTML,这一点已由 (1) 汇总或 (2) 实际名称字段证实。注意:存在此问题的原因是对 CVE-2012-4189 的修复不完整 (CVE-2013-1743)。

更新后的程序包已升级到 4.2.7 版,此版本不受这些问题的影响。

解决方案

更新受影响的 bugzilla 和/或 bugzilla-contrib 程序包。

另见

https://www.bugzilla.org/releases/4.2.6/release-notes.html

https://www.bugzilla.org/releases/4.2.7/release-notes.html

插件详情

严重性: Medium

ID: 71099

文件名: mandriva_MDVSA-2013-285.nasl

版本: 1.6

类型: local

发布时间: 2013/11/27

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:mandriva:linux:bugzilla, cpe:/o:mandriva:business_server:1, p-cpe:/a:mandriva:linux:bugzilla-contrib

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2013/11/26

参考资料信息

CVE: CVE-2013-1733, CVE-2013-1734, CVE-2013-1742, CVE-2013-1743

BID: 63197, 63199, 63204, 63205

MDVSA: 2013:285