Bugzillaで共有されている未解決の脆弱性情報などが流出する恐れもあることから、できるだけ早くパッチを適用するよう呼び掛けている。
オープンソースのバグトラッキングソフトウェア「Bugzilla」に、攻撃者が特権を取得できてしまう脆弱性が見つかり、修正パッチが公開された。Bugzillaで共有されている未解決の脆弱性情報などが流出する恐れもあることから、できるだけ早くパッチを適用するよう呼び掛けている。
この脆弱性を発見したセキュリティ企業PerimeterXの9月17日のブログによると、脆弱性はバージョン2.0以降のBugzillaに存在する。Bugzillaでは一般的に、ユーザーのメールアドレスをもとにアクセス権限を割り当てており、特定組織のメールアドレスを使っていれば「信頼できる」ユーザーと見なされる。
しかし、今回見つかった脆弱性を悪用すれば、攻撃者が自分とは無関係の任意のドメインのメールを使ってアカウントを作成することが可能。この手口で特権を取得すれば、未解決の脆弱性に関する部外秘情報へのアクセス、データの改ざん、設定の変更なども可能になる。
PerimeterXの研究者は、Mozilla Foundationが使っている「Bugzilla.mozilla.org」で検証を行い、脆弱性を突いて特権を取得できることを確認した。部外秘のデータを参照することも可能だったとしている。
PerimeterXはこの脆弱性について9月7日にMozillaに報告し、10日には脆弱性を修正したBugzillaのバージョン5.0.1、4.2.15、4.4.10が公開された。
Bugzillaでメールベースのパーミッションを使っていて、まだパッチを適用していない場合、パッチを適用するまでは使用を停止し、ログやユーザーリストをチェックして、脆弱性突いて作成されたユーザーを見つけ出すようPerimeterXは促している。この脆弱性は極めて簡単に悪用できることから、既に攻撃を受けている可能性もあると警告している。
Copyright © ITmedia, Inc. All Rights Reserved.