検出

FreeBSD:bugzilla -- 複数の脆弱性(58253655-d82c-11e1-907c-20cf30e32f6d)

medium Nessus プラグイン ID 60151

Language:

概要

リモート FreeBSD ホストに 1 つ以上のセキュリティ関連の更新が見つかりません。

説明

Bugzilla セキュリティアドバイザリによる報告:下記のセキュリティ問題が Bugzilla において見つかりました:情報漏洩の存在するバージョン:4.1.1 から 4.2.1、4.3.1 まで

ユーザーがバグや添付ファイルを閲覧できる場合、HTML のバグメールにてすべてのバグ ID および添付ファイル ID がリンクされ、それらのリンク上をホバーすると、バグサマリー、あるいは添付ファイルの説明が記載されたツールチップが表示されます。しかし、電子メールを生成するときにユーザーの権限を検証するときは、宛名人の権限の代わりに、バグを編集したユーザーの権限が考慮されました。つまり、他のユーザーに宛名人より高い権限がある場合、機密情報が宛名人に漏洩する可能性がありました。バグと添付ファイル ID はリンク化されていないため、平文バグメールは影響を受けません。
情報漏洩のバージョン:2.17.5 から 3.6.9 まで、3.7.1 から 4.0.6 まで、4.1.1 から 4.2.1 まで、4.3.1

ユーザーが閲覧可能なバグ内の公開コメントにおいて添付ファイル ID が言及されている場合、保護されている添付ファイルの詳細が、添付ファイルへのアクセス権を持たないユーザーに対して閲覧可能になる可能性があります。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.mozilla.org/show_bug.cgi?id=777398

https://bugzilla.mozilla.org/show_bug.cgi?id=777586

http://www.nessus.org/u?e33adba8

プラグインの詳細

深刻度: Medium

ID: 60151

ファイル名: freebsd_pkg_58253655d82c11e1907c20cf30e32f6d.nasl

バージョン: 1.6

タイプ: local

公開日: 2012/7/30

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 2.7

CVSS v2

リスクファクター: Medium

基本値: 4.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:bugzilla, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2012/7/27

脆弱性公開日: 2012/7/26

参照情報

CVE: CVE-2012-1968, CVE-2012-1969