El fallo en Bugzilla podría permitir el acceso a información sensible de proyectos de software de código abierto.
Bugzilla es una herramienta de la Fundación Mozilla para el seguimiento de vulneralidades de software y es usada por organizaciones privadas y de código abierto. Entre otros Bugzilla es utilizada por la Fundación Mozilla, Apache, OpenSSH, Eclipse, KDE, Fundación Wikimedia, Wireshark, Novell, y GNOME, así como para el kernel de Linux.
La vulnerabilidad descubierta en Bugzilla podría ser aprovechada por atacantes para exponer información y vulnerabilidades sensibles de los proyectos de software.
El fallo fue divulgado por investigadores de Check Point Software Technologies. La Fundación Mozilla ha confirmado la vulnerabilidad para todas las versiones de Bugzilla, desde la versión 2.23.3 de 2006.
Con el fallo un atacante podría evadir la verificación por correo electrónico al registrar una nueva cuenta. Es decir, el atacante puede registrar una cuenta usando cualquier dirección de correo electrónico sin tener que acceder a dicha cuenta para validar el registro. Además el atacante podría obtener privilegios administrativos con los cuales podría ver y editar detalles de vulnerabilidades privadas y no divulgadas. No existen evidencias de que esta vulnerabilidad haya sido explotada antes de su decubrimiento.
De acuerdo con los investigadores de Check Point el problema se encontró en defectos en el lenguaje de programación Perl utilizado por Bugzilla, permitiendo la inclusión de usuarios en el grupo de administradores, con privilegios para ver los detalles de las vulnerabilidades no publicadas. Aclararon que no se trató de un ataque de inyección SQL y afirmaron que pudieron generar cuentas de administrador para mozilla.com, mozilla.org, Bugzilla.org, y bugzilla.bugs en el sistema.
La Fundación Mozilla ya ha publicado el parche de seguridad de Bugzilla, para lo cual ha dispuesto las nuevas versiones 4.0.15, 4.2.11, 4.4.6, y 4.5.6 de Bugzilla para su descarga.