Noticias
Investigadores de Check Point descubren una vulnerabilidad crítica en la plataforma Bugzilla
10 Octubre 2014
La brecha de seguridad afecta a la herramienta para el seguimiento de errores Bugzilla, que utiliza Mozilla y por muchas distribuciones de Linux y que permite ver informes detallados acerca de vulnerabilidades sin subsanar en una amplia gama de software. De haber sido explotado, este fallo supondría la exposición de un incalculable abanico de vulnerabilidades y una verdadera mina de oro para los cibercriminales
Un desarrollador que quiere informar de un error en Mozilla Firefox, por ejemplo, puede registrarse para obtener una cuenta en la plataforma Bugzilla, que le responde automáticamente mediante el envío de un mensaje de correo electrónico de validación a la dirección indicada en la solicitud de registro.
El hallazgo, publicado por el grupo de Investigación de Check Point, revela que es posible crear cuentas de usuario Bugzilla omitiendo dicho proceso de validación. Esto permitiría, por tanto, que un cibercriminal pueda obtener información sensible sobre vulnerabilidades y errores sin subsanar en paquetes de software que dependan de Bugzilla.
Bugzilla es una popular herramienta de código abierto para el seguimiento de errores es utilizada por Mozilla y múltiples distribuciones de Linux y el fallo de seguridad ha sido calificado como muy grave porque permitiría que cualquiera pudiese crear cuentas de usuario de Bugzilla omitiendo el proceso de validación y accediendo a privilegios de administrador
“El exploit permite pasar por alto la validación y registrar el correo electrónico que se desee, incluso si no tenemos acceso a él, porque no hay ninguna validación que controle actualmente ese dominio”, explica Shahar Tal, jefe del Grupo de Investigación de Vulnerabilidades de Check Point..
“Por el modo en que funcionan los permisos de Bugzilla, es posible obtener privilegios de administrador con sólo registrarse con la dirección de uno de los dominios del titular de la instalación Bugzilla. Por ejemplo, nos registramos como admin@mozilla.org y pudimos ver todos los errores privados de Firefox y Mozilla”.
El fallo de seguridad de Bugzilla es el último de una serie de vulnerabilidades críticas que han salido a la luz en el último año, incluyendo Heartbleed y Shellshock, y que tiene la particularidad de haberse mantenido ocultas durante largo tiempo y de poder permitir el acceso a grandes volúmenes de datos sensibles.
“El hecho es que el error de Bugzilla ha estado presenta durante 10 años sin que nadie lo supiese”, ha concluido Tal.
La fundación Mozilla ha liberado parches de software para las versiones 4.0.15, 4.2.11, 4.4.6 y 4.5.6 con el fin de solventar dicha vulnerabilidad y ha alertado a las principales organizaciones que han uso de este software acerca de los riesgos y del parche recomendado. Más información sobre la vulnerabilidad en www.checkpoint.com/blog/bug-bug-tracker/ y sobre el grupo de investigación en www.checkpoint.com/threatcloud-central
ShareThis
Publicidad
Publicidad
Últimas Noticias
- 13/05/2024Microsoft amplía la certificación del Esquema Nacional de Seguridad a sus servicios de Inteligencia Artificial
- 11/05/2024Stratesys reúne a expertos en tecnología e innovación en su foro de la industria farmacéutica
- 21/03/2024Seis pasos para implementar la IA en la organización y desbloquear el potencial de la innovación
- 02/02/2024DXC Technology consolida su liderazgo en servicios TI en España
Destacamos
- El Data Fabric, clave para impulsar la digitalización del sector público
La digitalización de las organizaciones públicas es una cuestión crucial en un mundo cada vez más conectado y avanzado tecnológicamente. Para Julio Campoy, vicepresidente de Appian, una transformación esencial para facilitar y simplificar tanto los procesos internos como para los que se dirigen a los ciudadanos y en la que el Data Fabric cobra singular importancia
Publicidad
