发布日期：2012-08-31
更新日期：2012-09-03

受影响系统：

Bugzilla Bugzilla 4.x
Bugzilla Bugzilla 3.x
Bugzilla Bugzilla 2.x

描述：

---

BUGTRAQ  ID: 55349
CVE ID: CVE-2012-3981

Bugzilla是一个开源的缺陷跟踪系统，它可以管理软件开发中缺陷的提交，修复，关闭等整个生命周期。

Bugzilla 中存在安全漏洞，可允许恶意用户泄露敏感信息或操作某些数据。

1）通过用户名传递的某些输入没有正确转义即用在LDAP查询中，可被利用注入LDAP语句。

此漏洞位于版本 2.12-3.6.10、3.7.1-4.0.7、4.1.1-4.2.2、4.3.1-4.3.2

2）应用没有限制目录访问扩展，可被利用泄露模板源代码。

此漏洞位于版本2.23.2-3.6.10、3.7.1-4.0.7、4.1.1-4.2.2、4.3.1-4.3.2

<*来源：Frédéric Buclin （LpSolit@gmail.com）
  
  链接：http://secunia.com/advisories/50433/
        http://www.bugzilla.org/security/3.6.10/
*>

建议：

---

厂商补丁：

Bugzilla
--------
Bugzilla已经为此发布了一个安全公告（3.6.10）以及相应补丁:

3.6.10：4.3.2, 4.2.2, 4.0.7, and 3.6.10 Security Advisory

链接：http://www.bugzilla.org/security/3.6.10/

浏览次数：2900
严重程度：0（网友投票）