Check Point detecta un grave fallo de seguridad en Bugzilla
La vulnerabilidad permitiría que cualquiera pudiese crear cuentas de usuario de Bugzilla, y ver informes detallados acerca de vulnerabilidades sin subsanar. Desde Check Point advierten que el error que afecta a la popular herramienta de código abierto ha estado presente durante diez años sin que nadie lo supiese.
- Mozilla refuerza la verificación de certificados SSL en Firefox
- Aprovechan vulnerabilidades en servidores Linux para lanzar ataques DDoS
- Check Point ofrece protección frente a Shellshock
- Sophos y Check Point se unen en seguridad de redes
- Check Point amplía su oferta de seguridad de red para el datacenter con dos nuevos gateways
Al igual que ha pasado con Heartbleed y Shellshock, dos vulnerabilidades críticas que se han mantenido ocultas durante largo tiempo y han podido permitir el acceso a grandes volúmenes de datos sensibles, investigadores de Check Point Software acaban de descubrir un grave fallo de seguridad en Bugzilla, la herramienta para el seguimiento de errores usada en múltiples distribuciones de Linux, que permitiría que cualquier persona pueda ver informes detallados acerca de vulnerabilidades sin subsanar en una amplia gama de software. De haber sido explotado, este fallo, que ha estado presente durante diez años sin que nadie lo supiese, supondría la exposición de múltiples vulnerabilidades y una mina de oro para los cibercriminales.
El grupo de Investigación de Check Point señala que la vulnerabilidad permitiría crear cuentas de usuario en Bugzilla omitiendo el proceso de validación requerido, haciendo que un cibercriminal pueda obtener información sensible sobre vulnerabilidades y errores sin subsanar en paquetes de software que dependan de Bugzilla.
“El exploit permite pasar por alto la validación y registrar el correo electrónico que se desee, incluso si no tenemos acceso a él, porque no hay ninguna validación que controle actualmente ese dominio”, explica Shahar Tal, jefe del grupo de investigación de vulnerabilidades de Check Point. “Por el modo en que funcionan los permisos de Bugzilla, es posible obtener privilegios de administrador con sólo registrarse con la dirección de uno de los dominios del titular de la instalación Bugzilla. Por ejemplo, nos registramos como admin@mozilla.org y pudimos ver todos los errores privados de Firefox y Mozilla”.
Check Point recomienda instalar los parches de software que la fundación Mozilla ha liberado para las versiones 4.0.15, 4.2.11, 4.4.6 y 4.5.6 con el fin de solventar dicha vulnerabilidad.