Bugraq ID: 37062
CVE ID:CVE-2009-3386
Mozilla Bugzilla是一款基于Web的BUG跟踪系统。
Mozilla Bugzilla显示"Depends On"或"Blocks"列表中的受限制bugs的别名时存在错误,可导致泄漏敏感信息。
当某个bug属于某个组时,本来它所有信息对此组之外的用户是不可见的。但是存在漏洞可显示(非常短的字符串作为快捷方式用于查询bug)"Depends On"或"Blocks"列表中的受限制bugs的别名给此组以外的其他用户,导致敏感信息。
Mozilla Bugzilla 3.5.1
Mozilla Bugzilla 3.4.3
Mozilla Bugzilla 3.4.2
Mozilla Bugzilla 3.4.1
Mozilla Bugzilla 3.3.4
Mozilla Bugzilla 3.3.3
Mozilla Bugzilla 3.3.3
Mozilla Bugzilla 3.3.2
Mozilla Bugzilla 3.5
Mozilla Bugzilla 3.4 rc1
Mozilla Bugzilla 3.4
厂商解决方案
用户可联系供应商升级到如下版本:
Mozilla Bugzilla 3.4 rc1
Mozilla bugzilla-3.4.4.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.4.4.tar.gz
Mozilla Bugzilla 3.5
Mozilla bugzilla-3.5.2.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.5.2.tar.gz
Mozilla Bugzilla 3.4
Mozilla bugzilla-3.4.4.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.4.4.tar.gz
Mozilla Bugzilla 3.3.2
Mozilla bugzilla-3.4.4.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.4.4.tar.gz
Mozilla Bugzilla 3.3.3
Mozilla bugzilla-3.4.4.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.4.4.tar.gz
Mozilla Bugzilla 3.3.3
Mozilla bugzilla-3.4.4.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.4.4.tar.gz
Mozilla Bugzilla 3.3.4
Mozilla bugzilla-3.4.4.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.4.4.tar.gz
Mozilla Bugzilla 3.4.1
Mozilla bugzilla-3.4.4.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.4.4.tar.gz
Mozilla Bugzilla 3.4.2
Mozilla bugzilla-3.4.4.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.4.4.tar.gz
Mozilla Bugzilla 3.4.3
Mozilla bugzilla-3.4.4.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.4.4.tar.gz
Mozilla Bugzilla 3.5.1
Mozilla bugzilla-3.5.2.tar.gz
http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.5.2.tar.gz