バグ管理ツールのBugzillaに脆弱性、特権取得される恐れ
Bugzillaで共有されている未解決の脆弱性情報などが流出する恐れもあることから、できるだけ早くパッチを適用するよう呼び掛けている。
オープンソースのバグトラッキングソフトウェア「Bugzilla」に、攻撃者が特権を取得できてしまう脆弱性が見つかり、修正パッチが公開された。Bugzillaで共有されている未解決の脆弱性情報などが流出する恐れもあることから、できるだけ早くパッチを適用するよう呼び掛けている。
この脆弱性を発見したセキュリティ企業PerimeterXの9月17日のブログによると、脆弱性はバージョン2.0以降のBugzillaに存在する。Bugzillaでは一般的に、ユーザーのメールアドレスをもとにアクセス権限を割り当てており、特定組織のメールアドレスを使っていれば「信頼できる」ユーザーと見なされる。
しかし、今回見つかった脆弱性を悪用すれば、攻撃者が自分とは無関係の任意のドメインのメールを使ってアカウントを作成することが可能。この手口で特権を取得すれば、未解決の脆弱性に関する部外秘情報へのアクセス、データの改ざん、設定の変更なども可能になる。
PerimeterXの研究者は、Mozilla Foundationが使っている「Bugzilla.mozilla.org」で検証を行い、脆弱性を突いて特権を取得できることを確認した。部外秘のデータを参照することも可能だったとしている。
PerimeterXはこの脆弱性について9月7日にMozillaに報告し、10日には脆弱性を修正したBugzillaのバージョン5.0.1、4.2.15、4.4.10が公開された。
Bugzillaでメールベースのパーミッションを使っていて、まだパッチを適用していない場合、パッチを適用するまでは使用を停止し、ログやユーザーリストをチェックして、脆弱性突いて作成されたユーザーを見つけ出すようPerimeterXは促している。この脆弱性は極めて簡単に悪用できることから、既に攻撃を受けている可能性もあると警告している。
関連記事
Bugzillaに不正アクセス、盗んだ情報をFirefox攻撃に利用
何者かが未解決の脆弱性情報をBugzillaから盗み出し、その情報をFirefoxユーザーに対する攻撃に利用したとみられることが分かった。
Firefoxの未解決の脆弱性を突く攻撃発生、更新版で対処
ロシアのニュースサイトの広告に不正なコードが仕込まれているのが見つかり、Mozillaは8月6日にリリースしたFirefox更新版で脆弱性を修正した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
ITmediaはアイティメディア株式会社の登録商標です。