Mozilla Bugzilla CRLF注入漏洞

漏洞信息详情

Mozilla Bugzilla CRLF注入漏洞

• CNNVD编号：CNNVD-201108-150
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2011-2381
  
• 漏洞类型：
  
  
  代码注入
  
• 发布时间：
  
  2011-08-10
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2011-08-10
  
• 厂        商：
  
  mozilla
• 漏洞来源：

Bugzilla是美国Mozilla基金会开发的一套开源的缺陷跟踪系统，它可管理软件开发中缺陷的提交（new）、修复（resolve）、关闭（close）等整个生命周期。

Bugzilla中存在CRLF注入漏洞。Bugzilla通常发送两种类型的电子邮件通知：bugmails和flagmails。bugmails是标准电子邮件用户在bug更改时收到的。flagmails仅发送给旗标要求者或旗标请求者。对于flagmails，附件说明中有新行可导致在编辑旗标时在通知中注入特制标头。仅收到bugmail的用户不会受到影响。

该漏洞位于以下版本中：Bugzilla 2.17.1至2.22.7版本，3.0.x至3.3.x版本，3.4.12之前的3.4.x版本，3.5.x版本，3.6.6之前的3.6.x版本，3.7.x版本，4.0.2之前的4.0.x版本和4.1.3之前的4.1.x版本。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.bugzilla.org/download/

来源: bugzilla.mozilla.org

链接:https://bugzilla.mozilla.org/show_bug.cgi?id=657158

来源: XF

名称: bugzilla-attachment-header-injection(69035)

链接:http://xforce.iss.net/xforce/xfdb/69035

来源: BID

名称: 49042

链接:http://www.securityfocus.com/bid/49042

来源: OSVDB

名称: 74300

链接:http://www.osvdb.org/74300

来源: www.bugzilla.org

链接:http://www.bugzilla.org/security/3.4.11/

来源: SECUNIA

名称: 45501

链接:http://secunia.com/advisories/45501