FreeBSD：bugzilla -- 多种漏洞 (0c7a3ee2-3654-11e1-b404-20cf30e32f6d)

medium Nessus 插件 ID 57445

语言：

简介

远程 FreeBSD 主机缺少一个或多个与安全有关的更新。

描述

Bugzilla 安全公告：

已在 Bugzilla 中发现以下安全问题：

- 表格和图形报告以及新的图表具有调试模式，以明文方式显示原始数据。此文本未被正确转义，构建的 URL 可利用此漏洞来注入代码，从而导致 XSS。

- User.offer_account_by_email WebService 方法会忽略认证方法的 user_can_create_account 设置，并通过用户可在其中创建帐户的标记来生成电子邮件。根据活动的认证方法，这可允许用户使用此帐户进行登录。createemailregexp 参数为空的安装不易受到此问题的影响。

- 缺陷报告和附件的创建未受到标记的保护，因此，如果 HTML 页面中嵌入了相关代码并且用户访问此页面，可在未经用户同意的情况下创建这些报告。此行为是有意让第三方应用程序容易提交新的缺陷报告和附件。但此行为可被恶意用户滥用，现已决定从版本 4.2rc1 起阻断无有效标记的提交。较旧的分支未经修补以便在升级之后不会破坏这些第三方应用程序。

鼓励尽快升级所有受影响的安装。