[ad_1]

Une faille de sécurité jusque-là inconnue dans Bugzilla – un outil de suivi des bogues en ligne populaire utilisé par MozillaComment et beaucoup d’open source Linux distributions – permet à quiconque de consulter des rapports détaillés sur les vulnérabilités non corrigées dans un large éventail de logiciels. Bugzilla devrait publier aujourd’hui un correctif pour cette très grave faiblesse, qui expose potentiellement une véritable mine d’or de vulnérabilités qui seraient très prisées par les cybercriminels et les acteurs des États-nations.

La mascotte Bugzilla.

La mascotte Bugzilla.

Plusieurs projets logiciels utilisent Bugzilla pour suivre les bogues et les défauts signalés par les utilisateurs. La plate-forme Bugzilla permet à quiconque de créer un compte qui peut être utilisé pour signaler des problèmes ou des problèmes de sécurité dans ces projets. Mais il s’avère que ce même mécanisme de signalement peut être utilisé à mauvais escient pour révéler des informations sensibles sur des failles de sécurité non encore corrigées dans les packages logiciels qui reposent sur Bugzilla.

Un développeur ou un chercheur en sécurité qui souhaite signaler une faille dans MozillaFirefox, par exemple, peuvent créer un compte sur la plate-forme Bugzilla de Mozilla. Bugzilla répond automatiquement en envoyant un e-mail de validation à l’adresse indiquée dans la demande d’inscription. Mais récemment, des chercheurs d’une société de sécurité Technologies logicielles Check Point découvert qu’il était possible de créer des comptes d’utilisateurs Bugzilla qui contournent ce processus de validation.

« Notre exploit nous permet de contourner cela et de nous enregistrer en utilisant n’importe quel e-mail que nous voulons, même si nous n’y avons pas accès, car il n’y a aucune validation que vous contrôlez réellement ce domaine », a déclaré Shahar Tal, chef de l’équipe de recherche sur les vulnérabilités pour Check. Indiquer. « En raison de la façon dont les autorisations fonctionnent sur Bugzilla, nous pouvons obtenir des privilèges administratifs en nous enregistrant simplement en utilisant une adresse de l’un des domaines du propriétaire de l’installation de Bugzilla. Par exemple, nous nous sommes enregistrés en tant que [email protected]et soudain nous avons pu voir tous les bogues privés sous Firefox et tout le reste sous Mozilla.

Bugzilla devrait publier aujourd’hui des mises à jour pour supprimer la vulnérabilité et aider à sécuriser davantage son produit principal. Mise à jour, 13 h 59 HE : Une mise à jour qui corrige cette vulnérabilité et plusieurs autres dans Bugzilla est disponible ici.

« Un chercheur indépendant a signalé une vulnérabilité dans Bugzilla qui permet la manipulation de certains champs de la base de données lors de la procédure de création d’utilisateur sur Bugzillay compris le champ ‘login_name’ », a déclaré Sid Stammingénieur principal en sécurité et confidentialité chez Mozilla, qui a développé l’outil et l’a autorisé à être utilisé sous la licence publique Mozilla.

« Cette faille permet à un attaquant de contourner la vérification des e-mails lorsqu’il crée un compte, ce qui peut permettre à ce titulaire de compte d’assumer certains privilèges, selon la façon dont un particulier Bugzilla instance est gérée », a déclaré Stamm. « Aucun utilisateur n’a signalé que des données sensibles avaient été compromises et nous n’avons aucune autre raison de croire que la vulnérabilité a été exploitée. Nous nous attendons à ce que les correctifs soient publiés lundi.

La faille est la dernière d’une série de vulnérabilités critiques et de longue durée apparues au cours de l’année écoulée – y compris Heartbleed et Shellshock – qui seraient mûres pour être exploitées par des adversaires des États-nations à la recherche de moyens secrets pour accéder à d’énormes volumes de données sensibles.

« Le fait est que c’était là depuis 10 ans et personne ne l’a vu jusqu’à présent », a déclaré Tal. « Si les adversaires des États-nations [had] accès aux données de bogues privées, ils s’amuseraient bien avec ça. Il n’y a aucun moyen de savoir si quelqu’un a exploité cela autrement que de parcourir la liste des utilisateurs et de voir si vous avez un utilisateur suspect là-bas.

Comme Heartbleed, cette faille était présente dans les logiciels open source auxquels d’innombrables développeurs et experts en sécurité ont eu un accès direct pendant des années.

« La perception que de nombreux yeux ont regardé le code open source et qu’il est sécurisé parce que tant de gens l’ont regardé, je pense que c’est faux », a déclaré Tal. « Parce que personne ne vérifie vraiment le code à moins qu’il ne s’y engage ou qu’il ne soit payé pour le faire. C’est pourquoi nous pouvons voir des bogues aussi insensés dans un code très populaire.

Mise à jour, 7 octobre, 12 h 44 HE : Mozilla a publié la déclaration suivante en réponse à cette histoire :

Concernant le commentaire du premier paragraphe : bien qu’il soit théoriquement possible que d’autres installations de Bugzilla exposent des bogues de sécurité à « tous les employés », MozillaComment ne le fait pas et, par conséquent, nos bogues de sécurité n’étaient pas disponibles pour les exploiteurs potentiels de cette faille.
À aucun moment, Check Point n’a obtenu de « privilèges administratifs » sur bugzilla.mozilla.org. Ils ont créé un compte appelé admin@mozilla.org qui hériterait des privilèges « netscapeconfidential », mais nous avons cessé d’utiliser ce niveau de privilège bien avant l’introduction de la vulnérabilité signalée. Ils ont également créé « admin@mozilla.com » qui a hérité de « mozilla-l’accès des employés. Nous utilisons activement cette classification, mais pas pour les bogues de sécurité.
De plus, sur bugzilla.mozilla.org MozillaComment vérifie régulièrement @mozilla.com adresses contre la base de données des employés et aurait attrapé tout @ créé frauduleusementmozilla.com comptes rapidement.

trackbugdawg

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *