Parchean vulnerabilidad en Bugzilla que dejaba fallas al descubierto

Se ha parcheado una vulnerabilidad crítica en Bugzilla, un sistema de Mozilla usado por desarrolladores para monitorear y discutir bugs, permitía que los atacantes accedieran y vean las fallas todavía no solucionadas -permitiéndoles ejecutar ataques 0-day en diversos proyectos populares de software. Se trata de una vulnerabilidad de escalación de privilegios que otorgaba acceso administrativo a los sistemas de rastreo de bugs de la aplicación open-source.

Utilizando las credenciales de administrador que les permitía obtener esta vulnerabilidad, los atacantes podían ver y editar detalles de bugs todavía no publicados. Incluso podían destruir información relacionada a las fallas y así entorpecer el proceso de solución de las mismas en un determinado software.

Sucede que tenían la posibilidad de evadir la verificación de email al registrar una nueva cuenta de Bugzilla, lo que significa que podían crear cuentas en la plataforma utilizando cualquier dirección de correo electrónico que quisieran, sin tener que acceder al buzón de entrada para hacer la validación de registración.

Parche disponible

La vulnerabilidad fue reportada al proveedor el 30 de septiembre, según reporta NetworkWorld, y afectaba a todas las versiones de Bugzilla desde la 2.23.3, lanzada en 2006. Un parche preliminar fue lanzado la semana pasada, y finalmente se lanzaron las nuevas versiones 4.0.15, 4.2.11, 4.4.6, y 4.5.6 para solucionar esta y otras fallas que también permitían Cross-Site scripting (XSS), fuga de información y ataques de Ingeniería Social.

Según el aviso de seguridad de Bugzilla, los problemas encontrados fueron:

  • El parámetro ‘realname’ no está correctamente validado en la creación de cuentas de usuario, lo cual podría hacer que se sobreescriban los datos
  • En muchas partes del código de Bugzilla se podía usar XSS para acceder a información sensible
  • Comentarios privados podían ser visualizados por personas ajenas al grupo interno
  • La exportación de resultados de búsqueda en formato CSV con valores particulares podía ser usada en software de hojas de cálculo para atacar la computadora de un usuario

¿Qué es Bugzilla?

Según su propio sitio web, Bugzilla es un “sistema de seguimiento de bugs“, que permite que personas o grupos de desarrolladores hagan un seguimiento de los fallos más significativos en su producto. Funciona entonces como herramienta de evaluación y se usa para rastrear bugs en una variedad de proyectos open source y también es utilizado por grandes desarrolladores de software.

Mozilla Foundation utiliza a Bugzilla para seguir el rastro de problemas de seguridad en muchos de sus propios productos. La plataforma también es usada por Apache Software Foundation, desarrolladores del kernel de Linux, LibreOffice, OpenOffice, OpenSSH, Eclipse, KDE, GNOME, varias distribuciones de Linux como Red Hat o Mandriva y muchos otros proyectos.

Si utilizas esta plataforma, recuerda actualizar inmediatamente descargando la última versión disponible de Bugzilla.

Créditos imagen: ©Liz Henry/Flickr

Autor , ESET

Síguenos