[NEWS] Bugzilla, la piattaforma traccia-bug affetta da bug

[c.m.g]

mercoledì 8 ottobre 2014

Spoiler:

Quote: Grossi guai per Bugzilla, il tool per tenere traccia dei bachi nel software che si scopre essere affetto da bachi piuttosto pericolosi. Già disponibili le patch, già sistemate le liste di bug tracking usate pubblicamente da Mozilla

Roma - Nuovi problemi di codice per Bugzilla, il tool Mozilla sviluppato per tenere traccia e gestire i bug nei progetti software open source grandi e piccoli, e che ora si scopre a sua volta vulnerabile a causa di alcuni bachi che mettono a rischio la sicurezza della piattaforma.

Il bug più pericoloso è stato individuato da Check Point Software, e potrebbe sfociare nel rischio di una escalation di privilegi in grado di permettere a ignoti malintenzionati di avere accesso ad account di alto profilo, e da qui ai bug più sensibili di un dato progetto software.

Bugzilla ha già distribuito nuove versioni del software prive della vulnerabilità, e ha ovviamente già provveduto a chiudere i bachi nella versione pubblica del tool usata per il tracking dei bug presenti nel software gestito dalla fondazione.Il bug scoperto da Check Point era in circolazione già dal 2002, e anche se Mozilla si è affrettata a rassicurare sui rischi concreti posti alla piattaforma - non sono al momento noti tentativi di exploit, ha riferito - il problema non è certo da poco visto che Bugzilla è usato per gestire progetti software del calibro di Linux, Firefox, Apache, OpenSSH e tanti altri.

Le versioni aggiornate di Bugzilla distribuite da Mozilla servono infine a correggere anche altri bug non relativi alla già citata escalation di privilegi, bachi che riguardano il potenziali leaking di dati dai server Bugzilla, vulnerabilità ad attacchi di tipo Cross-Site-Scripting e altro ancora.

Alfonso Maruccia






Fonte: Punto Informatico