Bugzilla 非授权创建账户绕过访问验证漏洞

Bugzilla 非授权创建账户绕过访问验证漏洞 受影响系统： 

Mozilla Bugzilla < 3.1.2 

Mozilla Bugzilla < 3.0.2 

不受影响系统： 

Mozilla Bugzilla 3.1.2 

Mozilla Bugzilla 3.0.2 

描述： 

-------------------------------------------------------------------------------- 

BUGTRAQ ID: 25725 

Bugzilla是一种流行的开源软件Bug跟踪系统。 

Bugzilla的实现上存在漏洞，远程安全者可能利用此漏洞非授权创建账户获取对系统的访问。 

Bugzilla的User.pm模块的offer_account_by_email()函数没有对createemailregexp参数做充分的检查过滤，如果系统上安装了SOAP::Lite Perl模块，那么远程安全者可能利用此漏洞在系统上创建Bugzilla用户账号，从而获取对系统的访问。 

<*来源：Sascha Jensen 

Frédéric Buclin 

链接：http://secunia.com/advisories/26848/ 

http://www.bugzilla.org/security/3.0.1/ 

https://bugzilla.mozilla.org/show_bug.cgi?format=multiple&id=395632 

*> 

建议： 

-------------------------------------------------------------------------------- 

厂商补丁： 

Mozilla 

------- 

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： 

http://www.bugzilla.org/download/ 

https://bugzilla.mozilla.org/attachment.cgi?id=280385 

https://bugzilla.mozilla.org/attachment.cgi?id=280316