ข่าวไอที Blognone » Bugzilla มีบั๊ก ข้อมูลช่องโหว่ความปลอดภัยอาจหลุดสู่มือแฮกเกอร์

Bugzilla มีบั๊ก ข้อมูลช่องโหว่ความปลอดภัยอาจหลุดสู่มือแฮกเกอร์

6 ตุลาคม 2014
1   0

ซอฟต์แวร์สมัยใหม่มักมีระบบติดตามบั๊ก (bug tracker) เพื่อติดตามความคืบหน้าของโครงการได้อย่างเป็นระบบ โครงการโอเพนซอร์สที่เปิดให้คนเข้าร่วมได้ก็มักเปิดเผยกระบวนการพัฒนาให้คนภายนอกรับรู้ ยกเว้นบั๊กความปลอดภัยที่มักแก้กันในวงปิดจนกระทั่งบั๊กเปิดเผยแล้ว จึงเปิดเผยกระบวนการต่อสาธารณะภายหลัง แต่บั๊กล่าสุดของ Bugzilla ซอฟต์แวร์ติดตามบั๊กสำคัญก็มีช่องโหว่ ทำให้แฮกเกอร์สามารถเข้าถึงบั๊กทุกตัวในระบบได้

บั๊กนี้รายงานโดยบริษัท Check Point Software ระบุว่าผู้ใช้สามารถเข้าถึงสิทธิผู้ดูแล Bugzilla ได้หากสามารถลงทะเบียนด้วยโดเมนเดียวกับผู้ดูแลระบบได้ และช่องโหว่ที่ทางบริษัทพบทำให้ผู้ใช้ที่ลงทะเบียนใหม่สามารถข้ามระบบยืนยันอีเมลได้ ทำให้ผู้ใช้ที่มุ่งร้ายสามารถเข้าถึงข้อมูลทั้งหมดได้ทันที

ปัญหาใหญ่คือบั๊กนี้ทำให้ซอฟต์แวร์ทั้งหมดที่บริหารโครงการโดย Bugzilla ตกอยู่ในความเสี่ยงทันที ซอฟต์แวร์ขนาดใหญ่มักมีบั๊กความปลอดภัยที่อยู่ระหว่างการแก้ไขค้างอยู่ในระบบอยู่เสมอ หากแฮกเกอร์สามารถเข้าถึงบั๊กเหล่านี้ได้ก็สามารถเจาะช่องโหว่เหล่านี้ได้ไม่ยากนัก

Bugzilla จะปล่อยอัพเดตภายในวันนี้

ที่มา - Krebs on Security

Mozilla, Security

[source: https://www.blognone.com/node/61271]