In het Bugzilla-systeem dat vooraanstaande softwareprojecten zoals Mozilla, Linux Kernel, Apache Project, Red Hat en Open Office voor het bijhouden van bugs en kwetsbaarheden gebruiken is een ernstig beveiligingslek ontdekt en gepatcht. Via de kwetsbaarheid kon een aanvaller op het systeem inloggen en bijvoorbeeld gevoelige bugs en problemen zien die nog niet zijn gepatcht.

Onlangs werd bekend dat een aanvaller toegang tot het Bugzilla-systeem van Mozilla had gekregen en zo informatie over een Firefox-lek in handen kreeg waarvoor nog geen beveiligingsupdate beschikbaar was. Deze informatie gebruikte de aanvaller vervolgens om Firefox-gebruikers aan te vallen. Een veelgebruikte methode binnen Bugzilla om gebruikers toegang te geven is op basis van e-mailadres.

Als een gebruiker over een e-mailadres van een bepaalde organisatie beschikt zal hij als een vertrouwde gebruiker worden beschouwd. In het geval van Mozilla gaat het om gebruikers die bijvoorbeeld over een e-mailadres op @mozilla.com beschikken. De nu ontdekte kwetsbaarheid laat een aanvaller voor elk willekeurig domein een Bugzilla-account aanmaken, ook als ze geen toegang tot het opgegeven e-mailaccount of domein hebben.

Vervolgens kan de aanvaller met het aangemaakte account inloggen en afhankelijk van de rechten die voor gebruikers van een bepaald domein zijn ingesteld toegang tot nog niet verholpen bugs en andere informatie krijgen. De kwetsbaarheid werd op maandag 7 september aan Mozilla gerapporteerd, dat voor de ontwikkeling van Bugzilla verantwoordelijk is. Op donderdag 10 september verscheen er een update.

Offline halen

Bedrijven die Bugzilla in combinatie met e-mailgebaseerde rechten gebruiken en deze update nog niet hebben geïnstalleerd krijgen het advies het systeem direct offline te halen totdat de patch is uitgerold. Tevens moeten de logs en aangemaakte gebruikerslijsten worden bekeken om te zien of er gebruikers via de kwetsbaarheid zijn aangemaakt, zo adviseert PerimeterX, het bedrijf dat de kwetsbaarheid ontdekte.