发布日期：2010-07-05
更新日期：2010-07-07

受影响系统：

Mozilla Bugzilla 3.7 - 3.7.1

不受影响系统：

Mozilla Bugzilla 3.7.2

描述：

---

BUGTRAQ  ID: 41397

Bugzilla是很多软件项目都在使用的基于Web的BUG跟踪系统。

在录入新的bug时Bugzilla管理员可以将某些组设置为“mandatory”，bug会被限制为必须由这些组访问；管理员还可以将某些组设置为Default，如果用户没有选择组新的bug就会被限制到Default组。在某些Bugzilla版本中，如果使用入站邮件接口（email_in.pl）或WebServices接口的Bug.create方式创建了新的bug，该bug既不会被限制到mandatory组也不会被限制到default组，也就是这些bug在应受限的请情况下却是公开可访问的。

<*来源：Max Kanat-Alexander （mkanat@bugzilla.org）
  
  链接：http://www.bugzilla.org/security/3.7.1/
        https://bugzilla.mozilla.org/show_bug.cgi?format=multiple&id=574892
*>

建议：

---

厂商补丁：

Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.7.2.tar.gz

浏览次数：2051
严重程度：0（网友投票）