发布日期：2010-11-03
更新日期：2010-11-04

受影响系统：

Mozilla Bugzilla 3.x

不受影响系统：

Mozilla Bugzilla 3.6.3
Mozilla Bugzilla 3.4.9
Mozilla Bugzilla 3.2.9

描述：

---

BUGTRAQ  ID: 44618
CVE ID: CVE-2010-3172,CVE-2010-3764

Bugzilla是很多软件项目都在使用的基于Web的BUG跟踪系统。

Bugzilla中的多个安全漏洞允许恶意用户绕过安全限制或执行HTTP响应拆分攻击。

1) 由于没有正确地过滤某些输入便返回给了用户，攻击者可以通过注入任意HTTP头执行HTTP响应拆分攻击。

2) Bugzilla没有正确地限制对其他项目所生成图形的访问，用户可通过提交特制的URL访问本应受限制的图形和产品名。

<*来源：Philip Gillissen
  
  链接：http://secunia.com/advisories/42071/
        http://www.bugzilla.org/security/3.2.8/
*>

建议：

---

厂商补丁：

Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.bugzilla.org/download/

浏览次数：2342
严重程度：0（网友投票）