Bugzilla es una plataforma desarrollada por Mozilla que permite a los desarrolladores llevar un control sobre todos los fallos, errores y vulnerabilidades que se detecten en su software así como poder ordenarlos según la seriedad de los mismos, agregar comentarios, ideas para solucionar dicho fallo y asignar a los encargados del mismo.
Hace algo más de un mes Bugzilla fue víctima de un ataque informático donde se filtraron una gran cantidad de datos de los usuarios como cuentas de correo y contraseñas. Este fallo se ocasionó en los servidores de prueba de la plataforma, una serie de servidores diseñados para probar las nuevas versiones y nuevas funciones antes de hacerlo en los servidores definitivos para evitar que esto ocurra a una mayor escala, sin embargo, los servidores públicos tenían una serie de vulnerabilidades que no habían sido detectadas hasta ahora.
Estas nuevas vulnerabilidades en la plataforma que podían llegar a permitir que usuarios no autorizados crearan cuentas en la plataforma, realizar ataques cross-site scripting, fuga de información y ataques con los que engañar a los demás usuarios llamados como «ingeniería social«. Con esto es posible que un usuario malintencionado cree una cuenta utilizando una dirección de correo de un programador y poder así acceder a toda la información que este ha subido a esta plataforma y desde allí, con la supuesta suplantación de identidad, realizar otro tipo de ataques a gran escala contra otros usuarios.
La vulnerabilidad que permitía que el atacante deshabilitara la verificación del correo electrónico y permitía crear cuentas maliciosas ha sido denominada como CVE-2014-1572.
La vulnerabilidad cross-site también ha sido reportada y registrada como CVE-2014-1573 al igual que la vulnerabilidad que permitía la fuga de datos desde los servidores que podría mostrar información sobre las tareas de los usuarios que también ha sido catalogada como CVE-2014-1571.
Las nuevas versiones actualizadas que ya no cuentan con estas vulnerabilidades anteriores son: 4.0.15, 4.2.11, 4.4.6, 4.5.6. Todas ellas se pueden descargar sin coste alguno desde su página web principal.
¿Eres usuario de Bugzilla? ¿Has actualizado ya la plataforma a la última versión?
Fuente: Bugzilla Security