FreeBSD：bugzilla -- 多种漏洞 (58253655-d82c-11e1-907c-20cf30e32f6d)

medium Nessus 插件 ID 60151

语言：

简介

远程 FreeBSD 主机缺少一个或多个与安全有关的更新。

描述

Bugzilla 安全公告报告：已在 Bugzilla 中发现以下安全问题：信息泄漏版本：4.1.1 至 4.2.1、4.3.1

在 HTML 缺陷邮件中，所有缺陷 ID 和附件 ID 都已做成链接，如果用户可以查看缺陷或附件，将鼠标放在这些链接上会显示包含错误摘要或附件描述的工具提示。但当在生成电子邮件时验证用户权限的情况下，将考虑编辑缺陷的用户的权限，而非收件人的权限。这意味着如果其他用户具有比收件人更高的权限，则可能将机密信息泄露给该收件人。明文缺陷邮件不受影响，因为缺陷和附件 ID 未做成链接。
信息泄漏版本：2.17.5 至 3.6.9，3.7.1 至 4.0.6，4.1.1 至 4.2.1, 4.3.1

如果在用户可以查看的缺陷的公共注释中提及附件 ID，没有此附件访问权限的用户可能可以看到私人附件的描述。