Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Un bug dans le système de suivi des bugs

octobre 2014 par Check Point

Le laboratoire de recherche de Check Point a découvert une vulnérabilité critique d’escalade de privilèges dans la plate-forme populaire de suivi de bugs : Bugzilla. Selon la base de données de vulnérabilités CVE (cvedetails.com), il s’agit du premier bug d’escalade de privilèges découvert dans le projet Bugzilla depuis 2002.

Les chercheurs de Check Point ont informé la Fondation Mozilla et l’équipe en charge du projet Bugzilla de cette vulnérabilité. Mozilla et Bugzilla ont reconnu la nature critique de cette vulnérabilité et lui ont attribué l’identifiant CVE suivant : CVE-2014-1572.

Analyse détaillée

Bugzilla est un système de suivi des bugs largement utilisé qui bénéficie d’un nombre important d’installations publiques et privées. Des projets open source populaires gèrent leurs bugs à l’aide de Bugzilla, dont notamment Apache, Firefox, le noyau Linux, OpenSSH, Eclipse, KDE, GNOME et de nombreuses distributions Linux. Les entreprises qui utilisent ce système doivent être conscientes des risques que cette vulnérabilité peut entraîner pour leurs données.

L’analyse effectuée par les chercheurs de Check Point a révélé la manière dont cette vulnérabilité pourrait être exploitée par des agresseurs :
1. Ce bug permet à des utilisateurs de masquer leur identité et de s’inscrire avec une adresse email ne leur appartenant pas.
2. Dans certaines installations, cela peut (automatiquement) fournir à des utilisateurs certaines autorisations de haut niveau, lorsque celles-ci sont affectées à des groupes définis avec des expressions régulières.
3. Ces autorisations peuvent permettre l’accès à des données privées sur les bugs, la modification et la révision des notifications de bugs, ainsi que d’autres actions importantes sur l’installation.

Comment protéger votre entreprise de cette vulnérabilité
Toutes les entreprises

La Fondation Mozilla a publié des correctifs (versions 4.0.15, 4.2.11, 4.4.6 et 4.5.6) pour corriger cette vulnérabilité et a également alerté les principales entreprises utilisatrices de cette vulnérabilité et du correctif recommandé. L’équipe Bugzilla a confirmé que cette vulnérabilité affecte toutes les versions de Bugzilla publiées depuis la version 2.23.3 de 2006. Les administrateurs de Bugzilla sont invités à déployer immédiatement le correctif et mettre à jour leur système. Aucune attaque exploitant cette vulnérabilité ne semble s’être produite, mais nous recommandons aux administrateurs d’installations Bugzilla de rechercher toute activité suspecte parmi leurs utilisateurs.

Check Point a publié une protection IPS pour contre cette vulnérabilité. Pour en savoir plus sur cette protection IPS spécifique, veuillez consulter : CPAI-2014-1871

Informations complémentaires

Calendrier des événements
 29 septembre – La vulnérabilité est découverte et confirmée par les chercheurs de Check Point
 30 septembre – Un rapport est communiqué à l’équipe Bugzilla
 30 septembre – Confirmation de la vulnérabilité et de son importance par Mozilla
 30 septembre – L’équipe Bugzilla communique un correctif préliminaire aux principales installations Bugzilla
 6 octobre – Un bulletin de sécurité et un correctif finalisé sont publiés




Voir les articles précédents

    

Voir les articles suivants