Discussion :

[Amine Horseman]

Bugzilla : une faille de sécurité découverte dans le logiciel de bug-tracking
La faille existe depuis 2006 et concerne le système de gestion de privilèges

La société Check Point Software Technologies, spécialisée dans la sécurité d'internet, a découvert une faille assez alarmante dans Bugzilla, la célèbre plateforme de suivi de bugs de la fondation Mozilla.

Selon leur rapport envoyé le 30 septembre dernier à la fondation Mozilla, cette vulnérabilité touche le système de privilèges du célèbre logiciel de bug-tracking. Elle permet aux pirates de contourner la phase de vérification des emails lors de la création de nouveaux comptes, ce qui leur donne la possibilité de créer des comptes avec n'importe quelle adresse mail, et aussi d'accéder à des informations privées, qui ne devraient normalement pas être accessibles au grand public.

De plus, Mozilla confirme que la faille existe dans toutes les versions de Bugzilla à partir de la version 2.23.3 publiée en 2006. Cette information est d'autant plus alarmante lorsqu'on sait que ce logiciel est largement utilisé dans des projets publics et privés, et même des projets open source, incluant Apache, Firefox, le noyau Linux, OpenSSH, Eclipse, KDE, Gnome, ainsi qu'un nombre important de distributions Linux.

Cependant, l'équipe de Bugzilla rassure ses utilisateurs : un patch a été publié hier, le 6 octobre 2014, pour corriger cette faille de sécurité. De plus, ce patch permet aussi de corriger d'autres failles découvertes, dont deux bugs tolérant le Cross-Site Scripting et l'injection de code dans les rapports de recherches.

Bien que les ingénieurs de Mozilla déclarent n'avoir trouvé aucune preuve que la vulnérabilité eût été exploitée par des pirates, il est fortement conseillé à tous les utilisateurs de Bugzilla d'installer le patch afin éviter tout risque inutile.

Télécharger le patch de sécurité du 6 octobre 2014 (versions 4.0.15, 4.2.11, 4.4.6 et 4.5.6)

Télécharger la dernière version stable de Bugzilla

Source : Blog de Check Point Software Technologies, Rapport de sécurité de Bugzilla

Et vous ?

Que pensez-vous des conséquences de cette faille de sécurité si elle n'avait pas été découverte ?

Que pensez-vous de la réactivité de Mozilla face à ce genre de problèmes ?

[rupteur]

tant pis, je m'expose à des évaluations négatives mais je me lance.

Pourquoi les trous de sécurité des autres acteurs informatiques ne sont-ils pas relayés avec autant de ferveur ?

Etant abonné aux bulletins de sécurité du CERTA, je vois régulièrement des problemes chez microsoft,oracle,apple,ibm,adobe,citrix,....
mais curieusement pas d'article sur developpez.

[miaous]

tant pis, je m'expose à des évaluations négatives mais je me lance.

Pourquoi les trous de sécurité des autres acteurs informatiques ne sont-ils pas relayés avec autant de ferveur ?

Etant abonné aux bulletins de sécurité du CERTA, je vois régulièrement des problemes chez microsoft,oracle,apple,ibm,adobe,citrix,....
mais curieusement pas d'article sur developpez.

Peut-être parce c'est un outil orienté développeur qui doit être utiliser par un grand nombre de lecteur /visiteur de developpez.com.
Peut-être aussi parce que la mise à jour n'est pas automatique.

[Marc3001]

J'imagine que le fait que la faille existe depuis 8 ans rend l'info un peu plus importante que les autres....

[Hinault Romaric]

tant pis, je m'expose à des évaluations négatives mais je me lance.

Pourquoi les trous de sécurité des autres acteurs informatiques ne sont-ils pas relayés avec autant de ferveur ?

Etant abonné aux bulletins de sécurité du CERTA, je vois régulièrement des problemes chez microsoft,oracle,apple,ibm,adobe,citrix,....
mais curieusement pas d'article sur developpez.

Les vulnérabilités dans Internet Explorer auraient doublé la première moitié de 2014.

Plusieurs actualités sur le Patch Tuedays (puisque c'est au moment de la publication des mises à jour que Microsoft publie les bulletins de securité sur ces failles).

La faille dans iCloud.

Le botnet iWorm sur Mac, etc. De tels exemples, j'en ai plusieurs sur ces derniers mois.


La finalité n'est pas de promouvoir ou décrédibiliser un produit, mais d'informer sur la faille et sur le fait que des correctifs sont disponibles, pour encourager des mises à jour. Qui plus est si l'outil est très utilisé par les développeurs

[GHetfield]

De plus, Mozilla confirme que la faille existe dans toutes les versions de Bugzilla à partir de la version 2.23.3 publiée en 2006. Cette information est d'autant plus alarmante lorsqu'on sait que ce logiciel est largement utilisé dans des projets publics et privés, et même des projets open source, incluant Apache, Firefox, le noyau Linux, OpenSSH, Eclipse, KDE, Gnome, ainsi qu'un nombre important de distributions Linux.

Encore une faille de sécurité critique de plus ! Je pensais devoir attendre 2-3 mois mais ca a ete plus vite que prevu.

il doit y avoir des développeurs de Vista dans la communauté c'est pas possible autrement

Il va falloir payer les gens pour qu'ils utilisent vos logiciel maintenant