オープンソースのBTS「Bugzilla」に脆弱性

荒浪一城
2007-09-20 11:04:01
  • このエントリーをはてなブックマークに追加

 9月19日(デンマーク時間)、Secuniaはオープンソースのバグトラッキングシステムである「Bugzilla」にセキュリティーバイパスの脆弱性が発見されたと公表した。影響度は、5段階中下から2番目の「Less critical」に位置づけられている。

 今回の脆弱性は、不適切な"createemailregexp"パラメタをチェックするWebService/User.pmの中の、"offer_account_by_email()"関数に発見された。

 影響を受けるバージョン:

  • Bugzilla 2.x
  • Bugzilla 3.x

 解決策:

  • Bugzilla 3.0.2、または3.1.2にアップデートすること

 そのほか、ベンダーパッチの適用も解決策として挙げられている。

 セキュリティーアドバイザリーは、下記のとおり。

 最近では、JIRAやTracなどの新しいバグトラッキングシステム(Bug-Tracking System:BTS)にシェアを奪われているが、Bugzillaは依然としてデファクトスタンダードだといえる。

  • 新着記事
  • 特集
  • ブログ