Le problème qui touche aujourd’hui le système de suivi des bogues Bugzilla est inédit. Le logiciel permet en effet d’afficher la liste des vulnérabilités non corrigées présentes dans une application. De quoi faciliter le travail des pirates.
En principe les failles non comblées ne sont pas affichées publiquement, afin de ralentir leur exploitation (ou la mise au point d’un exploit). Seuls les développeurs du projet concerné en sont informés. Ce bug de Bugzilla, qui révèle publiquement les bugs de sécurité des logiciels, met donc à mal un grand nombre d’applications.
Lors de la procédure d’inscription sur une instance de Bugzilla, il est possible de passer outre la vérification de l’e-mail, et d’obtenir par ce biais certains droits étendus, en indiquant posséder une adresse e-mail utilisant le nom de domaine du projet.
Quatre failles de sécurité ont été éliminées dans les versions 4.0.15, 4.2.11, 4.4.6 et 4.5.6 de Bugzilla. La mise à jour de l’application devra être réalisée sans tarder, afin de se prémunir de ces vulnérabilités. Les versions suivantes de cet outil sont touchées :
Sur le même thème :
Faille critique dans Xen : les Cloud d’Amazon et de Rackspace sont touchés
Un bug de Bugzilla divulgue 97 000 adresses e-mail de testeurs
Vol de mots de passe : Les hackers russes, Cybervor, en mode attaque ?
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.