Le problème qui touche aujourd’hui le système de suivi des bogues Bugzilla est inédit. Le logiciel permet en effet d’afficher la liste des vulnérabilités non corrigées présentes dans une application. De quoi faciliter le travail des pirates.
En principe les failles non comblées ne sont pas affichées publiquement, afin de ralentir leur exploitation (ou la mise au point d’un exploit). Seuls les développeurs du projet concerné en sont informés. Ce bug de Bugzilla, qui révèle publiquement les bugs de sécurité des logiciels, met donc à mal un grand nombre d’applications.
Lors de la procédure d’inscription sur une instance de Bugzilla, il est possible de passer outre la vérification de l’e-mail, et d’obtenir par ce biais certains droits étendus, en indiquant posséder une adresse e-mail utilisant le nom de domaine du projet.
Quatre failles de sécurité ont été éliminées dans les versions 4.0.15, 4.2.11, 4.4.6 et 4.5.6 de Bugzilla. La mise à jour de l’application devra être réalisée sans tarder, afin de se prémunir de ces vulnérabilités. Les versions suivantes de cet outil sont touchées :
Sur le même thème :
Faille critique dans Xen : les Cloud d’Amazon et de Rackspace sont touchés
Un bug de Bugzilla divulgue 97 000 adresses e-mail de testeurs
Vol de mots de passe : Les hackers russes, Cybervor, en mode attaque ?
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…