Sicherheit

Bugzilla patcht Sicherheitslücke

von - 06.04.2009
Eine Cross-Site-Request-Anfälligkeit beseitigt Bugzilla mit dem jüngsten Update auf Version 3.2.3 bzw. 3.3.4.
Die Lücke, die in allen Programmversionen vor 3.2.3 bzw. 3.3.4 bestand, ließ beim Editieren von Anhängen außer acht, ob eine Anfrage wirklich von Bugzilla stammte und konnte durch eine Cross-Site-Request-Manipulation ausgenutzt werden.
In den neuen Versionen wird ein Token generiert, das umgehend entwertet wird, wenn ein Anhang editiert wurde. Damit ist kein Zugriff von außen mehr möglich.
Verwandte Themen