Un fallo de seguridad ha sido encontrado en el bug tracker Bugzilla

Bugzilla es un bug tracker, una herramienta de seguimiento de errores, que permite realizar una clasificación y seguimiento de los errores que se reportan sobre algún proyecto de software, siendo muy utilizado en el Open Source.

Los investigadores de Check Point Software Technologies han encontrado un fallo de seguridad en Bugzilla, que puede ser aprovechado a través del lenguaje de programación Perl, que permite añadir cuatro usuarios con rol de administrador, pudiendo ver detalles sobre errores no revelados y también alterar la información alojada, así como destruirla. Estamos ante otro fallo de seguridad que provoca lo que se conoce como escalada de privilegios, ya que un usuario que en teoría tendría que tener acceso limitado acaba accediendo a zonas que requieren privilegios. Esto se consigue sobre todo a través de malware.

El fallo de seguridad afecta a partir de la versión 2.23.3, liberada en 2006, según comprobaciones del equipo que desarrolla el bug tracker, desconociéndose si ha sido aprovechado o no. Mozilla, principal desarrollador de Bugzilla, ha liberado el parche que recomienda aplicar cuanto antes.

Bugzilla es empleado como bug tracker en muchos proyectos Open Source de gran relevancia, como los productos de Mozilla como Firefox y Thunderbird, el kernel Linux, el entorno de escritorio KDE, Red Hat, Apache y muchos más.