Bugzilla es una plataforma web utilizada para llevar un control de fallos y vulnerabilidades en diferentes sistemas. Desarrollada y mantenida por el equipo Mozilla, Bugzilla es utilizada por un gran número de proyectos, tanto de software libre como de software privativo para llevar un completo control sobre las posibles vulnerabilidades y fallos existentes en estas aplicaciones. Aunque esta plataforma por lo general no expone demasiada información de los usuarios, se ha detectado una vulnerabilidad peligrosa que puede generar «suplantación de identidad» si se explota correctamente.
Hace algunas horas se ha anunciado un fallo detectado en esta plataforma que podría llegar a permitir ataques de falsificación de peticiones mediante sitios cruzados, comúnmente conocidos como ataques Cross Site Request Forgery. Este tipo de ataques se realizan explotando una vulnerabilidad presente en varios sitios web que, por defecto, «confían» en que las peticiones hacia sus servidores son legítimas.
Según se ha detectado, las versiones antiguas de Bugzilla no disponen de un control sobre este tipo de ataques informáticos, por lo que un usuario malintencionado podría realizar acciones en servidor a través de la sesión de otro usuario.
Las versiones afectadas por esta vulnerabilidad son todas aquellas comprendidas entre la versión 2.0 y la 4.4.2 y entre la 4.5.1 y la 4.5.2. Las versiones que corrigen estas vulnerabilidades, y que son las que debemos descargar desde los servidores de Bugzilla son: 4.0.12, 4.2.8, 4.4.3 y 4.5.3.
Mientras se analizaba esta vulnerabilidad también se ha detectado otra, aunque menos grave. La vulnerabilidad en cuestión permite a la plataforma insertar caracteres de control peligrosos, especialmente en los comentarios, de manera que si un usuario hace copia y pega de un texto en un terminal podría ejecutar comandos no deseados. Cross Site Scripting es uno de los problemas de seguridad presentes.
Estas vulnerabilidades ya han sido solucionadas en las nuevas versiones de Bugzilla, que se pueden descargar de forma totalmente gratuita desde el siguiente enlace.
¿Eres usuario de Bugzilla? ¿Has actualizado ya la plataforma?
Fuente: National Vulnerability Database