IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Bugzilla : Une faille de sécurité découverte dans le logiciel de bug-tracking


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Responsable de service informatique
    Inscrit en
    Septembre 2014
    Messages
    194
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Responsable de service informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Septembre 2014
    Messages : 194
    Points : 11 924
    Points
    11 924
    Par défaut Bugzilla : Une faille de sécurité découverte dans le logiciel de bug-tracking
    Bugzilla : une faille de sécurité découverte dans le logiciel de bug-tracking
    La faille existe depuis 2006 et concerne le système de gestion de privilèges

    La société Check Point Software Technologies, spécialisée dans la sécurité d'internet, a découvert une faille assez alarmante dans Bugzilla, la célèbre plateforme de suivi de bugs de la fondation Mozilla.

    Selon leur rapport envoyé le 30 septembre dernier à la fondation Mozilla, cette vulnérabilité touche le système de privilèges du célèbre logiciel de bug-tracking. Elle permet aux pirates de contourner la phase de vérification des emails lors de la création de nouveaux comptes, ce qui leur donne la possibilité de créer des comptes avec n'importe quelle adresse mail, et aussi d'accéder à des informations privées, qui ne devraient normalement pas être accessibles au grand public.

    De plus, Mozilla confirme que la faille existe dans toutes les versions de Bugzilla à partir de la version 2.23.3 publiée en 2006. Cette information est d'autant plus alarmante lorsqu'on sait que ce logiciel est largement utilisé dans des projets publics et privés, et même des projets open source, incluant Apache, Firefox, le noyau Linux, OpenSSH, Eclipse, KDE, Gnome, ainsi qu'un nombre important de distributions Linux.

    Cependant, l'équipe de Bugzilla rassure ses utilisateurs : un patch a été publié hier, le 6 octobre 2014, pour corriger cette faille de sécurité. De plus, ce patch permet aussi de corriger d'autres failles découvertes, dont deux bugs tolérant le Cross-Site Scripting et l'injection de code dans les rapports de recherches.

    Bien que les ingénieurs de Mozilla déclarent n'avoir trouvé aucune preuve que la vulnérabilité eût été exploitée par des pirates, il est fortement conseillé à tous les utilisateurs de Bugzilla d'installer le patch afin éviter tout risque inutile.

    Télécharger le patch de sécurité du 6 octobre 2014 (versions 4.0.15, 4.2.11, 4.4.6 et 4.5.6)

    Télécharger la dernière version stable de Bugzilla

    Source : Blog de Check Point Software Technologies, Rapport de sécurité de Bugzilla

    Et vous ?

    Que pensez-vous des conséquences de cette faille de sécurité si elle n'avait pas été découverte ?

    Que pensez-vous de la réactivité de Mozilla face à ce genre de problèmes ?

  2. #2
    Membre averti
    Homme Profil pro
    Informaticien
    Inscrit en
    Juin 2004
    Messages
    184
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gers (Midi Pyrénées)

    Informations professionnelles :
    Activité : Informaticien
    Secteur : Agroalimentaire - Agriculture

    Informations forums :
    Inscription : Juin 2004
    Messages : 184
    Points : 369
    Points
    369
    Par défaut
    tant pis, je m'expose à des évaluations négatives mais je me lance.

    Pourquoi les trous de sécurité des autres acteurs informatiques ne sont-ils pas relayés avec autant de ferveur ?

    Etant abonné aux bulletins de sécurité du CERTA, je vois régulièrement des problemes chez microsoft,oracle,apple,ibm,adobe,citrix,....
    mais curieusement pas d'article sur developpez.

  3. #3
    Membre averti
    Homme Profil pro
    Dev
    Inscrit en
    Novembre 2006
    Messages
    113
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Alpes Maritimes (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Dev

    Informations forums :
    Inscription : Novembre 2006
    Messages : 113
    Points : 354
    Points
    354
    Par défaut
    Citation Envoyé par rupteur Voir le message
    tant pis, je m'expose à des évaluations négatives mais je me lance.

    Pourquoi les trous de sécurité des autres acteurs informatiques ne sont-ils pas relayés avec autant de ferveur ?

    Etant abonné aux bulletins de sécurité du CERTA, je vois régulièrement des problemes chez microsoft,oracle,apple,ibm,adobe,citrix,....
    mais curieusement pas d'article sur developpez.
    Peut-être parce c'est un outil orienté développeur qui doit être utiliser par un grand nombre de lecteur /visiteur de developpez.com.
    Peut-être aussi parce que la mise à jour n'est pas automatique.

  4. #4
    Membre éprouvé Avatar de Marc3001
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Février 2008
    Messages
    829
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Morbihan (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux

    Informations forums :
    Inscription : Février 2008
    Messages : 829
    Points : 1 275
    Points
    1 275
    Par défaut
    J'imagine que le fait que la faille existe depuis 8 ans rend l'info un peu plus importante que les autres....

  5. #5
    Rédacteur
    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut
    Citation Envoyé par rupteur Voir le message
    tant pis, je m'expose à des évaluations négatives mais je me lance.

    Pourquoi les trous de sécurité des autres acteurs informatiques ne sont-ils pas relayés avec autant de ferveur ?

    Etant abonné aux bulletins de sécurité du CERTA, je vois régulièrement des problemes chez microsoft,oracle,apple,ibm,adobe,citrix,....
    mais curieusement pas d'article sur developpez.
    Les vulnérabilités dans Internet Explorer auraient doublé la première moitié de 2014.

    Plusieurs actualités sur le Patch Tuedays (puisque c'est au moment de la publication des mises à jour que Microsoft publie les bulletins de securité sur ces failles).

    La faille dans iCloud.

    Le botnet iWorm sur Mac, etc. De tels exemples, j'en ai plusieurs sur ces derniers mois.


    La finalité n'est pas de promouvoir ou décrédibiliser un produit, mais d'informer sur la faille et sur le fait que des correctifs sont disponibles, pour encourager des mises à jour. Qui plus est si l'outil est très utilisé par les développeurs

  6. #6
    Nouveau Candidat au Club
    Femme Profil pro
    Architecte technique
    Inscrit en
    Août 2014
    Messages
    215
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Architecte technique
    Secteur : Arts - Culture

    Informations forums :
    Inscription : Août 2014
    Messages : 215
    Points : 0
    Points
    0
    Par défaut
    De plus, Mozilla confirme que la faille existe dans toutes les versions de Bugzilla à partir de la version 2.23.3 publiée en 2006. Cette information est d'autant plus alarmante lorsqu'on sait que ce logiciel est largement utilisé dans des projets publics et privés, et même des projets open source, incluant Apache, Firefox, le noyau Linux, OpenSSH, Eclipse, KDE, Gnome, ainsi qu'un nombre important de distributions Linux.
    Encore une faille de sécurité critique de plus ! Je pensais devoir attendre 2-3 mois mais ca a ete plus vite que prevu.

    il doit y avoir des développeurs de Vista dans la communauté c'est pas possible autrement

    Il va falloir payer les gens pour qu'ils utilisent vos logiciel maintenant

Discussions similaires

  1. Des failles de sécurité découvertes dans Google App Engine
    Par Michael Guilloux dans le forum Sécurité
    Réponses: 0
    Dernier message: 18/05/2015, 16h08
  2. Réponses: 0
    Dernier message: 25/03/2014, 18h26
  3. Découverte d’une faille de sécurité critique dans iOS
    Par Hinault Romaric dans le forum Apple
    Réponses: 3
    Dernier message: 16/11/2011, 19h17
  4. Facebook ignorerait une faille de sécurité dans ses API
    Par Doksuri dans le forum Actualités
    Réponses: 0
    Dernier message: 07/10/2011, 18h17
  5. Des chercheurs découvrent une faille de sécurité critique dans SSL
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 26
    Dernier message: 04/10/2011, 12h04

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo