Bugzilla, la piattaforma traccia-bug affetta da bug

Grossi guai per Bugzilla, il tool per tenere traccia dei bachi nel software che si scopre essere affetto da bachi piuttosto pericolosi. Già disponibili le patch, già sistemate le liste di bug tracking usate pubblicamente da Mozilla

Roma – Nuovi problemi di codice per Bugzilla, il tool Mozilla sviluppato per tenere traccia e gestire i bug nei progetti software open source grandi e piccoli, e che ora si scopre a sua volta vulnerabile a causa di alcuni bachi che mettono a rischio la sicurezza della piattaforma.

Il bug più pericoloso è stato individuato da Check Point Software, e potrebbe sfociare nel rischio di una escalation di privilegi in grado di permettere a ignoti malintenzionati di avere accesso ad account di alto profilo, e da qui ai bug più sensibili di un dato progetto software.

Bugzilla ha già distribuito nuove versioni del software prive della vulnerabilità, e ha ovviamente già provveduto a chiudere i bachi nella versione pubblica del tool usata per il tracking dei bug presenti nel software gestito dalla fondazione.

Il bug scoperto da Check Point era in circolazione già dal 2002, e anche se Mozilla si è affrettata a rassicurare sui rischi concreti posti alla piattaforma – non sono al momento noti tentativi di exploit, ha riferito – il problema non è certo da poco visto che Bugzilla è usato per gestire progetti software del calibro di Linux, Firefox, Apache, OpenSSH e tanti altri.

Le versioni aggiornate di Bugzilla distribuite da Mozilla servono infine a correggere anche altri bug non relativi alla già citata escalation di privilegi, bachi che riguardano il potenziali leaking di dati dai server Bugzilla, vulnerabilità ad attacchi di tipo Cross-Site-Scripting e altro ancora.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Belinone scrive:
    urka!
    si sollazzeranno con le tette della mia ex.. chi l'avrebbe mai detto.. ma tra l'altro.. chi non le ha ancora viste? uahahahah
  • De Marco Rosario scrive:
    Davvero?
    Ma davvero chi non usa Win è convinto che la sua macchina non possa essere spiata? Mah...
    • Passante scrive:
      Re: Davvero?
      - Scritto da: De Marco Rosario
      Ma davvero chi non usa Win è convinto che
      la sua macchina non possa essere spiata ?
      Mah...Diciamo che la prima cosa che dovrebbe fare uno che non vuole essere spiato è non usare sistemi operativi che devono per legge rispettare il partriot act usa.
    • Passante scrive:
      Re: Davvero?
      - Scritto da: De Marco Rosario
      Ma davvero chi non usa Win è convinto che
      la sua macchina non possa essere spiata ?
      Mah...Una cosa è essere spiato, un'altra è la sicurezza di avere impletementata una backdoor a norma di legge USA che poi viene usata dal primo scrittore di virus russo o cinese...
  • ... scrive:
    giocano con le parole
    non e' spionaggio sapere vita mortee miracoli dei tuoi clienti? allora i non-vedenti non sono ciechi, i gay non sono XXXXX, gli anziani non sono vecchi e cosi' via.XXXXXXX che ipocrisia!
  • Nostradamus scrive:
    seggiolone
    Se la preview fa tutto questo quella in vendita cosa fara'? Magari sono prove tecniche in collaborazione con NSA di come verreti voi winari spiati in futuro, rastrellate di dati senza se e senza ma. Tranquilli siete come i bambini che aspettano sul seggiolone la pappa, gnam buono apri la bocca che arriva il tuo cucchiaione di windows.
    • Pasta alla Pirateria scrive:
      Re: seggiolone
      - Scritto da: Nostradamus
      Magari sono prove tecniche in
      collaborazione con NSA E te lo scriverebbero chiaro e tondo, secondo te?Ciò che viene fatto per accordi fra aziende e servizi non può essere detto al pubblico, proprio ieri twitter ha annunciato che andrà in tribunale contro lo stato per provare a risolvere questa questione, avvelandosi degli emendamenti.
      • nostradamus scrive:
        Re: seggiolone
        - Scritto da: Pasta alla Pirateria
        - Scritto da: Nostradamus

        Magari sono prove tecniche in

        collaborazione con NSA

        E te lo scriverebbero chiaro e tondo, secondo te?"Data We CollectMicrosoft collects many kinds of information in a variety of ways in order to operate effectively and provide you with the best products, services and experiences we can. We may combine this data with information that is linked to your user ID, such as information contained in your Microsoft account.When you acquire, install and use the Program, Microsoft collects information about you, your devices, applications and networks, and your use of those devices, applications and networks. Examples of data we collect include your name, email address, preferences and interests; browsing, search and file history; phone call and SMS data; device configuration and sensor data; and application usage. For example, when you: install the Program, we may collect information about your device and applications and use it for purposes such as determining or improving compatibility; use voice input features, such as speech-to-text, we may collect voice information and use it for purposes such as improving speech processing; open a file, we may collect information about the file, the application used to open the file and how long it takes and use it for purposes such as improving performance; or enter text, we may collect typed characters and use them for purposes such as improving auto-complete and spell check features. The Program contains Internet-enabled features and social functionality. When these features are used, they transmit certain standard computer information ("Standard Computer Data") to Microsoft. Standard Computer Data may include information about the Program computing environment such as IP address, network status, operating conditions and information about devices and software used with the Program.The Program contains Internet-enabled features that transmit performance or usage information to Microsoft (Experience Data). Experience Data may include information about the Programs performance and reliability, such as how quickly the Program responds when you click a button or how many problems you experience with the Program. Experience Data may also include information about your use of the Program, such as the features used most often or how frequently you launch programs. Experience Data may be collected through the use of cookies or similar technologies. Learn more below."
        • Pasta alla Pirateria scrive:
          Re: seggiolone
          - Scritto da: nostradamus

          E te lo scriverebbero chiaro e tondo, secondo
          te?

          "Data We CollectROTFL hai capito tutto.
          • nostradamus scrive:
            Re: seggiolone
            - Scritto da: Pasta alla Pirateria
            - Scritto da: nostradamus



            E te lo scriverebbero chiaro e tondo,
            secondo

            te?



            "Data We Collect


            ROTFL hai capito tutto.non hai letto tutto il contratto evidentemente Si parla di tra l'altro di:"other government agencies" "Use of the Program is at your discretion. Many features that transmit data to Microsoft are enabled automatically. You may not have the option to turn off the transmission of data for certain features in the Program."
          • Pasta alla Pirateria scrive:
            Re: seggiolone
            - Scritto da: nostradamus



            ROTFL hai capito tutto.


            non hai letto tutto il contratto evidentemente Se ti vogliono spiare NON te lo dicono di certo altrimenti gli spiati farebbero in modo di far pensare allo spionr il contrario, ovviamente.Il fatto che lo dicano (limitatamente a questa release di test) non dice nulla, nè in senso positivo, nè in senso negativo, riguardo alle precedenti o alle successive release del sistema.Se l'allarme di cui parli è "possono tecnicamente farlo", oh... chi l'avrebbe mai detto?Se dalle ipotesi vuoi passare ai fatti, per ora ti devi accontentare dei documenti di Snowden: MS comunica le vulnerabilità 0-day ai servizi mentre mette in moto gli ingegnere per la patch (quindi dà un vantaggio di diversi giorni/settimane), collaborano in toto per quanto riguarda i dati usati online (cloud, email, ...) e via dicendo.Di spyware e backdoor massive (cioè non a target) di MS, Snowden non parla, o quantomeno non è ancora venuto fuori nulla.Ed è ragionevole perchè una cosa non a target sputtanerebbe l'azienda e avrebbe ripercussioni economiche di rilievo, ad esempio il ban totale nei paesi non ammanicati con gli USA.
          • 847910 scrive:
            Re: seggiolone
            - Scritto da: Pasta alla Pirateria
            - Scritto da: nostradamus
            Se l'allarme di cui parli è "possono tecnicamente
            farlo", oh... chi l'avrebbe mai detto?E gia... Ma rendiamoci conto che ogni riga di quei contratti ha un costo parecchio alto a livello di ricerche fatte dallo studio legale; quindi e' lecito pensare che se si sono tutelati a scrivertelo e fartelo firmare lo faranno poche una corp non scriverebbe mezza (costosa) riga se non sa di ricavarci almeno il doppio della spesa prevista per difendersi in tribunale.
          • Pasta alla Pirateria scrive:
            Re: seggiolone
            - Scritto da: 847910
            E gia... Ma rendiamoci conto che ogni riga di
            quei contratti ha un costo parecchio alto a
            livello di ricerche fatte dallo studio legale;
            quindi e' lecito pensare che se si sono tutelati
            a scrivertelo e fartelo firmare lo faranno poche
            una corp non scriverebbe mezza (costosa) riga se
            non sa di ricavarci almeno il doppio della spesa
            prevista per difendersi in
            tribunale.E' scritto solo nella versione di test di win. Qual è il guadagno di microsoft a distribuirla?[] usare le mille configurazioni ed abitudini dei clienti per trovare bug rari e particolari.[] spiare gli utenti, evidentemente tutti usano una versione di Windows di test per lavoraresono veramente indeciso su quale delle due (newbie)
          • panda rossa scrive:
            Re: seggiolone
            - Scritto da: Pasta alla Pirateria
            - Scritto da: 847910


            E gia... Ma rendiamoci conto che ogni riga di

            quei contratti ha un costo parecchio alto a

            livello di ricerche fatte dallo studio
            legale;

            quindi e' lecito pensare che se si sono
            tutelati

            a scrivertelo e fartelo firmare lo faranno
            poche

            una corp non scriverebbe mezza (costosa)
            riga
            se

            non sa di ricavarci almeno il doppio della
            spesa

            prevista per difendersi in

            tribunale.

            E' scritto solo nella versione di test di win.
            Qual è il guadagno di microsoft a
            distribuirla?
            [] usare le mille configurazioni ed abitudini dei
            clienti per trovare bug rari e
            particolari.
            [] spiare gli utenti, evidentemente tutti usano
            una versione di Windows di test per
            lavorare

            sono veramente indeciso su quale delle due
            (newbie)Perche' dovrebbero essere mutualmente esclusive?
          • Pasta alla Pirateria scrive:
            Re: seggiolone
            - Scritto da: panda rossa
            Perche' dovrebbero essere mutualmente esclusive?Tutto può essere, ma se fossero un filino furbi lo farebbero senza dirlo e sulle release ufficiali.I documenti di Snowden però, seppure incompleti, non accennano a nulla di tutto ciò: a che servirebbe comunicare exploit 0-days all'NSA se puoi dargli direttamente il controllo remoto di una macchina?
          • Passante scrive:
            Re: seggiolone
            - Scritto da: Pasta alla Pirateria
            - Scritto da: panda rossa

            Perche' dovrebbero essere mutualmente

            esclusive?
            Tutto può essere, ma se fossero un filino furbi
            lo farebbero senza dirlo e sulle release
            ufficiali.Sai già che nella relase ufficiale queste frasi non ci saranno ?
            I documenti di Snowden però, seppure incompleti,
            non accennano a nulla di tutto ciò: a che
            servirebbe comunicare exploit 0-days all'NSA se
            puoi dargli direttamente il controllo remoto di
            una macchina?Ussignur... Siamo alle basi eh ?Per evitare che russi e cinesi le usino tutto il tempo in cui non le usa NSA.
          • Pasta alla Pirateria scrive:
            Re: seggiolone
            - Scritto da: Passante
            Sai già che nella relase ufficiale queste frasi
            non ci saranno
            ?ti pare che un prodotto del genere sarebbe vendibile?Lo bloccherebbero metà dei paesi.
            Ussignur... Siamo alle basi eh ?
            Per evitare che russi e cinesi le usino tutto il
            tempo in cui non le usa
            NSA.Non hai capito nulla e parli di basi?E' MS che dà a NSA gli 0-day in anteprima (per permettere loro di sfruttarli mentre parte il proXXXXX di patch), non viceversa.-----------------------------------------------------------Modificato dall' autore il 09 ottobre 2014 12.02-----------------------------------------------------------
          • Passante scrive:
            Re: seggiolone
            - Scritto da: Pasta alla Pirateria
            - Scritto da: Passante

            Sai già che nella relase ufficiale

            queste frasi non ci saranno ?
            ti pare che un prodotto del genere sarebbe
            vendibile?Queste sono considerazioni che fara' microsft, comunque la risposta e' che per ora parliamo solo di questa versione in cui sappiamo che è presente.
            Lo bloccherebbero metà dei paesi.Non è cio di cui stiamo discutendo.

            Ussignur... Siamo alle basi eh ?

            Per evitare che russi e cinesi le

            usino tutto il tempo in cui non le usa

            NSA.
            Non hai capito nulla e parli di basi?
            E' MS che dà a NSA gli 0-day in anteprima
            (per permettere loro di sfruttarli mentre
            parte il proXXXXX di patch), non viceversa.Ma certo, che pensavi che potessero dargli direttamente le chiavi della backdoor principale ? L'avrebbero avuta subito tutti.
          • Pasta alla Pirateria scrive:
            Re: seggiolone
            - Scritto da: Passante
            Queste sono considerazioni che fara' microsft,
            comunque la risposta e' che per ora parliamo solo
            di questa versione in cui sappiamo che è
            presente.Mi hai chiesto della release ufficiale ed io ti ho dato il mio parere. <b
            Se non volevi un parere, non dovevi chiedere, furbetto. </b

            Ma certo, che pensavi che potessero dargli
            direttamente le chiavi della backdoor principale
            ? L'avrebbero avuta subito
            tutti.sisi, bravo... tu non sai dov'è, Snowden non sa che c'è, NSA non ne è informata, ma tu 'senti' che c'è (rotfl)(rotfl)(rotfl)Scie chimiche niente?-----------------------------------------------------------Modificato dall' autore il 09 ottobre 2014 12.13-----------------------------------------------------------
          • Passante scrive:
            Re: seggiolone
            - Scritto da: Pasta alla Pirateria
            - Scritto da: Passante

            Queste sono considerazioni che fara'

            microsft, comunque la risposta e' che

            per ora parliamo solo di questa versione
            in cui sappiamo che è presente.
            Mi hai chiesto della release ufficiale ed io
            ti ho dato il mio parere.Il parere tel'ho chiesto riguardo a cio' che ci fosse scritto nel contratto, mica sulle relase in cui sarebbe comparso.
            <b
            Se non volevi un parere, non dovevi
            chiedere, furbetto. </b
            Mica ti ho chiesto se nella prossima relase ci sara'.

            Ma certo, che pensavi che potessero dargli

            direttamente le chiavi della backdoor

            principale ? L'avrebbero avuta subito tutti.
            sisi, bravo... tu non sai dov'è, Snowden non sa
            che c'è, NSA non ne è informata, ma tu 'senti'
            che c'è
            (rotfl)(rotfl)(rotfl)HahahahahaGuarda, non ho voglia di consumarmi le dieta a parlare di lavoro, la mia opinione l'ho data
            Scie chimiche niente?Quelle le lascio a te.
          • Pasta alla Pirateria scrive:
            Re: seggiolone
            - Scritto da: Passante
            la mia opinione l'ho
            dataE i fatti esposti da Snowden la smontano completamente.
          • Taverna scrive:
            Re: seggiolone
            - Scritto da: Pasta alla Pirateria
            - Scritto da: Passante

            la mia opinione l'ho data
            E i fatti esposti da Snowden la smontano
            completamente.http://www.zerohedge.com/news/2013-12-30/how-nsa-hacks-your-iphone-presenting-dropout-jeep
          • Pasta alla Pirateria scrive:
            Re: seggiolone
            - Scritto da: Taverna
            http://www.zerohedge.com/news/2013-12-30/how-nsa-hpere con mele.
          • Un altro scrive:
            Re: seggiolone
            - Scritto da: Pasta alla Pirateria
            - Scritto da: Taverna
            http://www.zerohedge.com/news/2013-12-30/how-nsa-h
            pere con mele.Sara' ma siamo gia' io e nr: rapadiso a pensare la stessa cosa.
          • Pasta alla Pirateria scrive:
            Re: seggiolone
            - Scritto da: Un altro
            Sara' ma siamo gia' io e nr: rapadiso a pensare
            la stessa
            cosa.allora avete sicuramente ragione (rotfl)
          • rapadiso scrive:
            Re: seggiolone
            - Scritto da: Pasta alla Pirateria
            - Scritto da: Passante


            la mia opinione l'ho

            data


            E i fatti esposti da Snowden la smontano
            completamente.Perché parti dall'assunto errato che se NSA fa una cosa Snowden ne abbia parlato. Non è così. Chissà quante cose fa l'NSA di cui Snowden non ha parlato.Inoltre c'è il precedente del tizio che trovò riferimenti alla NSA nei simboli di debug in alcune dll di windows.Non che la questione abbia alcuna rilevanza per me.
          • Pasta alla Pirateria scrive:
            Re: seggiolone
            - Scritto da: rapadiso
            Perché parti dall'assunto errato che se NSA fa
            una cosa Snowden ne abbia parlato. Non l'ho assunto, infatti ho sempre scritto "per quanto venuto alla luce fin'ora"
            Chissà quante cose fa l'NSA di cui Snowden non ha
            parlato.Magari delle cose importanti ha parlato, tu che dici?O magari no, quindi puoi speculare su qualsiasi cosa senza avere nessuna prova.Ok, fallo, nessuno te lo vieta.E nessuno vieta alla gente di non credere alle tue 'sensazioni' se non esibisci uno straccio di prova.
            Inoltre c'è il precedente del tizio che trovò
            riferimenti alla NSA nei simboli di debug in
            alcune dll di
            windows.Debolezza in crittografia (tra l'altro uscita in un periodo in cui era vietata l'esportazione di cittografia forte al di fuori dagli USA) != backdoor.Se è per questo credo che anche il file system cifrato di windows sia decifrabile alla bisogna per lo stesso motivo.Ah no, non ho prove, ma lo 'sento', quindi siete liberi di non credermi :D-----------------------------------------------------------Modificato dall' autore il 09 ottobre 2014 14.59-----------------------------------------------------------
          • rapadiso scrive:
            Re: seggiolone
            - Scritto da: Pasta alla Pirateria
            - Scritto da: rapadiso


            Perché parti dall'assunto errato che se NSA
            fa

            una cosa Snowden ne abbia parlato.

            Non l'ho assunto, infatti ho sempre scritto "per
            quanto venuto alla luce
            fin'ora"


            Chissà quante cose fa l'NSA di cui Snowden
            non
            ha

            parlato.

            Magari delle cose importanti ha parlato, tu che
            dici?
            O magari no, quindi puoi speculare su qualsiasi
            cosa senza avere nessuna
            prova.
            Ok, fallo, nessuno te lo vieta.
            E nessuno vieta alla gente di non credere alle
            tue 'sensazioni' se non esibisci uno straccio di
            prova.


            Inoltre c'è il precedente del tizio che trovò

            riferimenti alla NSA nei simboli di debug in

            alcune dll di

            windows.

            Debolezza in crittografia (tra l'altro uscita in
            un periodo in cui era vietata l'esportazione di
            cittografia forte al di fuori dagli USA) !=
            backdoor.

            Se è per questo credo che anche il file system
            cifrato di windows sia decifrabile alla bisogna
            per lo stesso
            motivo.
            Ah no, non ho prove, ma lo 'sento', quindi siete
            liberi di non credermi
            :De infatti non lo farò, le tue speculazioni non sono solide e nel dubbio meglio aspettarsi il peggio.
          • Pasta alla Pirateria scrive:
            Re: seggiolone
            - Scritto da: rapadiso
            e infatti non lo farò, le tue speculazioni non
            sono solide e nel dubbio meglio aspettarsi il
            peggio.Al peggio non c'è limite, auguri.
  • Etype scrive:
    preview
    Che bello,non solo fai da betatester facendogli un favore si fanno anche gli affari tuoi alla luce del sole,necessario per arrivare ad un prodotto finito eh :)
    • panda rossa scrive:
      Re: preview
      - Scritto da: Etype
      Che bello,non solo fai da betatester facendogli
      un favore si fanno anche gli affari tuoi alla
      luce del sole,necessario per arrivare ad un
      prodotto finito eh
      :)Questi almeno lo fanno gratis.Pensa a quelli dopo, che per fare da betatester e regalando tutti i fatti loro, pagano pure.
      • mbutu scrive:
        Re: preview
        infatti meglio imbutu almeno il kernel me lo ricompilo io e so cosa c'è dentro
        • aphex_twin scrive:
          Re: preview
          buahauahuahauahauah , bella questa. (rotfl)
          • login scrive:
            Re: preview
            - Scritto da: aphex_twin
            buahauahuahauahauah , bella questa. (rotfl)Pero' ha ragione...
          • aphex_twin scrive:
            Re: preview
            La parte "il kernel me lo ricompilo" é perfetta, la parte "so cosa c'è dentro" fa , invece, sganasciare dalle risate.
          • Programmato re scrive:
            Re: preview
            - Scritto da: aphex_twin
            La parte "il kernel me lo ricompilo" é
            perfetta, la parte "so cosa c'è dentro"
            fa , invece, sganasciare dalle risate.Infatti il riso abbonda dove ???
          • Funz scrive:
            Re: preview
            - Scritto da: aphex_twin
            La parte "il kernel me lo ricompilo" é perfetta,
            la parte "so cosa c'è dentro" fa , invece,
            sganasciare dalle
            risate."un certo numero di sviluppatori competenti ci lavora sopra, tiene d'occhio le patch e garantisce che non ci venga infilato malware dentro, perciò sono ragionevolmente sicuro"E' la stessa cosa detta un in modo più lungo.Ma i fan del closed in genere non sono né competenti né ragionevoli, e il loro SW è garantito che abbia backdoor :p
          • _____ scrive:
            Re: preview
            - Scritto da: Funz
            "un certo numero di sviluppatori competenti ci
            lavora sopra, tiene d'occhio le patch e
            garantisce che non ci venga infilato malware
            dentro, perciò sono ragionevolmente
            sicuro"
            E' la stessa cosa detta un in modo più lungo.
            Ma i fan del closed in genere non sono né
            competenti né ragionevoli, e il loro SW è
            garantito che abbia backdoor
            :pSperiamo non siano gli stessi che hanno avuto sott'occhio per anni la voragine di Bash ;)
  • melampo scrive:
    non vedo il problema
    è una technical preview, devono testare se il keylogger integrato funziona come dovrebbe.poi lo disabilitano.
    • Giuggiola Amaranto scrive:
      Re: non vedo il problema
      Neanche io vedo il problema figurati che non vedo neppure windoze.
      • Nauseato scrive:
        Re: non vedo il problema
        - Scritto da: Giuggiola Amaranto
        Neanche io vedo il problema figurati che non vedo
        neppure
        windoze.Il che è la cosa più saggia.Se poi proprio uno deve servirsi di windoze, che lo acquisisca, tramite i canali che preferisce, dopo che altri proni a M$ si sono già scornati con le versioni di prova e si sono svenduti dati ed anima al diavolo.
  • ... scrive:
    aizzata dei media di settore
    giusto Gaia, dillo bello chiaro!i media di settore sono gentaglia! non come voi di PI candidi come gigli di campo!
    • collione scrive:
      Re: aizzata dei media di settore
      veramente i media in generale sono gentagliae non dimentichiamo l'esercito di giornalisti generalisti a libro paga della CIAe i risultati si vedono!!! ormai non fanno più notizia, ma propaganda!
      • ... scrive:
        Re: aizzata dei media di settore
        - Scritto da: collione
        veramente i media in generale sono gentaglia

        e non dimentichiamo l'esercito di giornalisti
        generalisti a libro paga della
        CIA

        e i risultati si vedono!!! ormai non fanno più
        notizia, ma
        propaganda!qui non arrivano a tanto: sono a libro paga di apple. Pero' dato che apple fa quello che la cia/nsa/fbi gli dice di fare...
    • Steak Hutzi scrive:
      Re: aizzata dei media di settore
      - Scritto da: ...
      giusto Gaia, dillo bello chiaro!
      i media di settore sono gentaglia! non come voi
      di PI candidi come gigli di
      campo!Quoto questo stile ovviamente ironico...
Chiudi i commenti