发布日期：2010-06-24
更新日期：2010-06-28

受影响系统：

Mozilla Bugzilla 3.x
Mozilla Bugzilla 2.x

不受影响系统：

Mozilla Bugzilla 3.7.1
Mozilla Bugzilla 3.6.1
Mozilla Bugzilla 3.4.7
Mozilla Bugzilla 3.2.7

描述：

---

BUGTRAQ  ID: 41144
CVE ID: CVE-2010-0180

Bugzilla是很多软件项目都在使用的基于Web的BUG跟踪系统。

如果在localconfig文件中将$use_suexec设置为1，则localconfig文件的权限就会被设置为checksetup.pl完全可读，这允许所有拥有本地shell访问的用户都可以查看文件内容，包括数据库口令和用于防范CSRF的site_wide_secret变量。

<*来源：Daniel Piddock
  
  链接：http://secunia.com/advisories/40300/
        http://www.bugzilla.org/security/3.2.6/
*>

建议：

---

厂商补丁：

Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.bugzilla.org/download/

浏览次数：1937
严重程度：0（网友投票）