9月19日(デンマーク時間)、Secuniaはオープンソースのバグトラッキングシステムである「Bugzilla」にセキュリティーバイパスの脆弱性が発見されたと公表した。影響度は、5段階中下から2番目の「Less critical」に位置づけられている。
今回の脆弱性は、不適切な"createemailregexp"パラメタをチェックするWebService/User.pmの中の、"offer_account_by_email()"関数に発見された。
影響を受けるバージョン:
- Bugzilla 2.x
- Bugzilla 3.x
解決策:
- Bugzilla 3.0.2、または3.1.2にアップデートすること
そのほか、ベンダーパッチの適用も解決策として挙げられている。
セキュリティーアドバイザリーは、下記のとおり。
最近では、JIRAやTracなどの新しいバグトラッキングシステム(Bug-Tracking System:BTS)にシェアを奪われているが、Bugzillaは依然としてデファクトスタンダードだといえる。
