Mozilla Bugzilla URL口令信息泄露漏洞

BUGTRAQ ID: 36372
CVE(CAN) ID: CVE-2009-3166

Bugzilla是很多软件项目都在使用的基于Web的BUG跟踪系统。

由于$cgi->query_string在不合适的情况下返回了POST变量，用户在重置口令后立即重新登录时，浏览器的URL中会泄露口令，这也意味着Bugzilla Webserver的日志中和登录后立即点击链接的页面Referer头中可能会出现口令。

Mozilla Bugzilla 3.4
厂商补丁：

Mozilla

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.4.2.tar.gz