检测

FreeBSD:bugzilla -- 多种漏洞 (309542b5-50b9-11e1-b0d8-00151735203a)

medium Nessus 插件 ID 57852

语言:

简介

远程 FreeBSD 主机缺少一个或多个与安全有关的更新。

描述

Bugzilla 安全公告:

已在 Bugzilla 中发现以下安全问题:

- 帐户假冒:用户创建新帐户时,Bugzilla 未正确拒绝包含非 ASCII 字符的电子邮件地址,从而可能被用于假冒其他用户帐户。
此类电子邮件地址外表上看起来与其他有效电子邮件地址完全一样,攻击者可尝试迷惑其他用户并被添加到其不应有权访问的缺陷中。

- 跨站请求伪造:由于发起对 jsonrpc.cgi 的 POST 请求时缺少对 Content-Type 标头的验证,发现可能的 CSRF 漏洞。如果用户访问其中包含某些恶意 JS 代码的 HTML 页面,攻击者可通过使用 JSON-RPC API 来代表受害者的帐户对远程 Bugzilla 安装进行更改。用户必须已登入目标站点才能使该漏洞生效。

鼓励尽快升级所有受影响的安装。

解决方案

更新受影响的程序包。

另见

https://bugzilla.mozilla.org/show_bug.cgi?id=714472

https://bugzilla.mozilla.org/show_bug.cgi?id=718319

http://www.nessus.org/u?27be81cc

插件详情

严重性: Medium

ID: 57852

文件名: freebsd_pkg_309542b550b911e1b0d800151735203a.nasl

版本: 1.8

类型: local

发布时间: 2012/2/7

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Medium

基本分数: 5.1

矢量: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:freebsd:freebsd:bugzilla, cpe:/o:freebsd:freebsd

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2012/2/6

漏洞发布日期: 2012/1/31

参考资料信息

CVE: CVE-2012-0440, CVE-2012-0448