Un bug dans le système de suivi des bugs
octobre 2014 par Check Point
Le laboratoire de recherche de Check Point a découvert une vulnérabilité critique d’escalade de privilèges dans la plate-forme populaire de suivi de bugs : Bugzilla. Selon la base de données de vulnérabilités CVE (cvedetails.com), il s’agit du premier bug d’escalade de privilèges découvert dans le projet Bugzilla depuis 2002.
Les chercheurs de Check Point ont informé la Fondation Mozilla et l’équipe en charge du projet Bugzilla de cette vulnérabilité. Mozilla et Bugzilla ont reconnu la nature critique de cette vulnérabilité et lui ont attribué l’identifiant CVE suivant : CVE-2014-1572.
Analyse détaillée
Bugzilla est un système de suivi des bugs largement utilisé qui bénéficie d’un nombre important d’installations publiques et privées. Des projets open source populaires gèrent leurs bugs à l’aide de Bugzilla, dont notamment Apache, Firefox, le noyau Linux, OpenSSH, Eclipse, KDE, GNOME et de nombreuses distributions Linux. Les entreprises qui utilisent ce système doivent être conscientes des risques que cette vulnérabilité peut entraîner pour leurs données.
L’analyse effectuée par les chercheurs de Check Point a révélé la manière dont cette vulnérabilité pourrait être exploitée par des agresseurs :
1. Ce bug permet à des utilisateurs de masquer leur identité et de s’inscrire avec une adresse email ne leur appartenant pas.
2. Dans certaines installations, cela peut (automatiquement) fournir à des utilisateurs certaines autorisations de haut niveau, lorsque celles-ci sont affectées à des groupes définis avec des expressions régulières.
3. Ces autorisations peuvent permettre l’accès à des données privées sur les bugs, la modification et la révision des notifications de bugs, ainsi que d’autres actions importantes sur l’installation.
Comment protéger votre entreprise de cette vulnérabilité
Toutes les entreprises
La Fondation Mozilla a publié des correctifs (versions 4.0.15, 4.2.11, 4.4.6 et 4.5.6) pour corriger cette vulnérabilité et a également alerté les principales entreprises utilisatrices de cette vulnérabilité et du correctif recommandé.
L’équipe Bugzilla a confirmé que cette vulnérabilité affecte toutes les versions de Bugzilla publiées depuis la version 2.23.3 de 2006. Les administrateurs de Bugzilla sont invités à déployer immédiatement le correctif et mettre à jour leur système. Aucune attaque exploitant cette vulnérabilité ne semble s’être produite, mais nous recommandons aux administrateurs d’installations Bugzilla de rechercher toute activité suspecte parmi leurs utilisateurs.
Check Point a publié une protection IPS pour contre cette vulnérabilité. Pour en savoir plus sur cette protection IPS spécifique, veuillez consulter : CPAI-2014-1871
Informations complémentaires
Calendrier des événements
_ ? 29 septembre – La vulnérabilité est découverte et confirmée par les chercheurs de Check Point
_ ? 30 septembre – Un rapport est communiqué à l’équipe Bugzilla
_ ? 30 septembre – Confirmation de la vulnérabilité et de son importance par Mozilla
_ ? 30 septembre – L’équipe Bugzilla communique un correctif préliminaire aux principales installations Bugzilla
_ ? 6 octobre – Un bulletin de sécurité et un correctif finalisé sont publiés