Secuniaは24日(デンマーク時間)、オープンソースのBTS(Bug-Tracking System)であるBugzillaに複数の脆弱性が発見されたと公表した。
BugzillaはBTSの老舗プロダクト。最近では、JIRAやTracなどの新しいBTSが注目を集めているが、依然としてデファクトスタンダードと言えるほどのシェアを誇る。
今回発表された脆弱性は、クロスサイトスクリプティング(XSS)、コマンドインジェクション、情報の漏洩の3種類。危険度は「Less critical」に位置づけられている。詳細は以下のとおり。
- "buildid"パラメターがサニタイズされていないこと
- "Email::Send::Sendmail()"関数がある条件下でサニタイズされていないこと
- XML-RPCインタフェースのtime-trackingフィールドにアクセス可能なこと
いずれも以下のバージョンにアップデートすることで回避することができる。
- Bugzilla 2.20.x ユーザー: 2.20.5.
- Bugzilla 2.22.x ユーザー: 2.22.3.
- Bugzilla 3.0 ユーザー: 3.0.1
対象ユーザーは、Bugzillaのサイトに掲載されているセキュリティーアドバイザリーも参照していただきたい。