发布日期：2010-02-01
更新日期：2010-02-02

受影响系统：

Mozilla Bugzilla 3.5
Mozilla Bugzilla 3.4
Mozilla Bugzilla 3.2
Mozilla Bugzilla 3.0

不受影响系统：

Mozilla Bugzilla 3.5.3
Mozilla Bugzilla 3.4.5
Mozilla Bugzilla 3.2.6
Mozilla Bugzilla 3.0.11

描述：

---

BUGTRAQ  ID: 38025
CVE(CAN) ID: CVE-2009-3989

Bugzilla是很多软件项目都在使用的基于Web的BUG跟踪系统。

Bugzilla允许Web浏览器显示CVS/、contrib/、docs/en/xml/、t/目录中的文件及old-params.txt文件的内容。默认下这些文件不包含有敏感数据，但自定义安装可能向上述目录中添加了脚本或文件，如口令或其他敏感信息。不受限制的访问这些目录就可能导致泄漏敏感信息。

<*来源：Joel Peshkin
        Frédéric Buclin （LpSolit@gmail.com）
  
  链接：http://secunia.com/advisories/38443/
        https://bugzilla.mozilla.org/show_bug.cgi?format=multiple&id=314871
        https://bugzilla.mozilla.org/show_bug.cgi?format=multiple&id=434801
        http://marc.info/?l=bugtraq&m=126506817100388&w=2
        http://security.gentoo.org/glsa/201006-19.xml
*>

建议：

---

厂商补丁：

Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.bugzilla.org/download/

Gentoo
------
Gentoo已经为此发布了一个安全公告（GLSA 201006-19）以及相应补丁:
GLSA 201006-19：Bugzilla: Multiple vulnerabilities
链接：http://security.gentoo.org/glsa/201006-19.xml

所有Bugzilla用户都应升级到不受影响的版本：

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=www-apps/bugzilla-3.2.6"

浏览次数：2392
严重程度：0（网友投票）