有蟲共享：Bugzilla重大安全漏洞讓駭客可自行建立帳號存取機密資訊

開放源碼的臭蟲追蹤與測試工具Bugzilla在周四（9/10）修補了一個重大的安全漏洞，該漏洞將允許駭客建立一個具備特定權限的帳號，以存取位於Bugzilla中的機密安全資訊。

有不少組織採用Bugzilla來蒐集與管理臭蟲，包括Mozilla基金會、WebKit、Linux kernel/FreeBSD軟體專案，紅帽（Red Hat）與Apache軟體基金會等。

根據Bugzilla的說明，此一編號為CVE-2015-4499的漏洞允許駭客建立一個未經授權的帳號。駭客只要透過長度多於127字元的登入帳號（通常為電子郵件位址），就能損害該電子郵件位址的網域名稱，並趁機建立一個採用其他網域的帳號，還可將該帳號自動添增到群組中。

資安業者PerimeterX漏洞研究人員Netanel Rubin解釋，駭客透過該漏洞欺騙了Bugzilla，讓Bugzilla誤以為駭客來自特定的網域，而賦予存取權限。

Rubin說，此一漏洞非常容易利用，而且已公開超過一周，很可能已經有人遭受攻擊，建議那些以電子郵件作為Bugzilla登入帳號的業者儘速部署更新或在更新前先關閉該服務。

Mozilla才在不久前坦承駭客入侵了該基金會所使用的Bugzilla，存取機密等級的漏洞，並已利用其中一個安全漏洞以蒐集Firefox用戶的個人資訊。但根據Mozilla所述，駭客入侵的方式是竊取既有用戶的帳號與密碼，與Bugzilla此次公布的漏洞應該沒有關聯。

本周所釋出的Bugzilla 5.0.1、Bugzilla 4.4.10與Bugzilla 4.2.15皆已修補了CVE-2015-4499，並呼籲用戶儘速更新。（編譯/陳曉莉）