Bugzilla show_bug.cgi信息泄露漏洞

fuchou-angle

受影响系统：
Mozilla Bugzilla 3.4 rc1
Mozilla Bugzilla 3.4
Mozilla Bugzilla 3.3.4
不受影响系统：
Mozilla Bugzilla 3.4.1
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 35916
Bugzilla是很多软件项目都在使用的基于Web的BUG跟踪系统。
任何可以编辑bug的用户都可以在show_bug.cgi页面查看所有产品的名称，而根据设计用户仅允许查看bug编辑页面Product下拉菜单中授权归档记录的产品。
<*来源：Sergej Pupykin （pupykin.s@gmail.com）
  
  链接：http://secunia.com/advisories/36071/
        https://bugzilla.mozilla.org/show_bug.cgi?format=multiple&id=507389
        http://www.bugzilla.org/security/3.4/
*>
测试方法：
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！
1. 创建两个产品：prod1和prod2
2. 限制user1仅可访问prod1
3. 编辑自己的bug然后在combobox中查看所有的产品
建议：
--------------------------------------------------------------------------------
厂商补丁：
Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
http://www.bugzilla.org/download/