検出

Bugzilla 2.0 < 4.0.12 / 4.2.8 / 4.4.3 / 4.5.3 文字なりすまし

medium Nessus プラグイン ID 74106

Language:

概要

リモートの Web サーバーに、文字スプーフィングの脆弱性を抱えた Web アプリケーションが含まれています。

説明

バナーによると、リモートホストにインストールされている Bugzilla のバージョンは 2.0 より後で 4.0.12 より前、4.2.8 より前の 4.1.1、4.4.3 より前の 4.3.1、4.5.3 より前の 4.5.1 です。このため、文字スプーフィングの脆弱性による影響を受けます。

コントロール文字を処理する際のバグコメント機能に脆弱性が存在します。それにより、リモートの攻撃者はターミナルにコピーされた場合、任意のコマンドインジェクションを行う可能性があります。

Nessusはこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Bugzilla 4.0.12 / 4.2.8 / 4.4.3 / 4.5.3 またはそれ以降にアップグレードしてください。

参考資料

http://www.bugzilla.org/security/4.0.11/

https://bugzilla.mozilla.org/show_bug.cgi?id=968576

プラグインの詳細

深刻度: Medium

ID: 74106

ファイル名: bugzilla_comment_spoofing.nasl

バージョン: 1.8

タイプ: remote

ファミリー: CGI abuses

公開日: 2014/5/20

更新日: 2022/4/11

設定: パラノイドモードの有効化, 徹底したチェックを有効にする

サポートされているセンサー: Nessus

リスク情報

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.2

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

脆弱性情報

CPE: cpe:/a:mozilla:bugzilla

必要な KB アイテム: Settings/ParanoidReport, installed_sw/Bugzilla

除外される KB アイテム: Settings/disable_cgi_scanning

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/4/17

脆弱性公開日: 2014/4/5

参照情報

BID: 66970