Mehrere Sicherheitslücken in Bugzilla geschlossen

Es befinden sich insgesamt drei Sicherheitslücken in Bugzilla 3.x und 4.x. Sie lassen sich für Umgehung der Sicherheitsrichtlinien und Cross Site Scripting ausnutzen. Betroffen ist die Methode User.offer_account_by_email, die den Wert user_can_create_account nicht ausreichend überprüft.

Ein weiterer Fehler liegt in der Datei chart.cgi. Wenn debug auf 1 gesetzt ist, wird der label0-Parameter nicht ausreichend überprüft, bevor dieser an den Anwender zurückgegeben wird. Somit könnte sich beliebiger HTML- und Script-Code in der Browser-Sitzung eines Anwenders ausführen lassen. Eine ähnliche Schwachstelle ist auch in der Datei report.cgi enthalten.

Anwender sollten auf die Versionen 3.4.13, 3.6.7, 4.0.3 oder 4.2 (sobald verfügbar) aktualisieren: bugzilla.org, bugzilla.mozilla.org, bugzilla.mozilla.org (jdo)