发布日期：2014-10-09
更新日期：2014-10-09

受影响系统：

Bugzilla Bugzilla 4.5.1 - 4.5.5
Bugzilla Bugzilla 4.3.1 - 4.4.5
Bugzilla Bugzilla 4.1.1 - 4.2.10
Bugzilla Bugzilla 2.17.1 － 4.0.14

不受影响系统：

Bugzilla Bugzilla 4.5.6
Bugzilla Bugzilla 4.4.6
Bugzilla Bugzilla 4.2.11
Bugzilla Bugzilla 4.0.15

描述：

---

Bugzilla是一个开源的缺陷跟踪系统，它可以管理软件开发中缺陷的提交，修复，关闭等整个生命周期。广泛使用在开源项目中，例如 Apache Software Foundation, Linux kernel, LibreOffice, OpenOffice, OpenSSH, Eclipse, KDE, GNOME, 各种Linux发行版等。

Bugzilla在实现上存在社会工程漏洞，搜索结果可以导出为CSV文件，然后导入到外部电子表格软件内，特殊格式的字段值会被解释为公式，执行后可以攻击用户计算机。

<*来源：Check Point Software Technologies
        Simon Green
        Byron Jones
        James Kettle
        Netanel Rubin
        Frederic Buclin
        Matt Tyson
        David Lawrence
  
  链接：http://www.bugzilla.org/security/4.0.14/
*>

建议：

---

厂商补丁：

Bugzilla
--------
Bugzilla已经为此发布了一个安全公告（4.0.14）以及相应补丁:
4.0.14：4.0.14, 4.2.10, 4.4.5, and 4.5.5 Security Advisory
链接：http://www.bugzilla.org/security/4.0.14/

补丁下载：http://www.bugzilla.org/download/

参考：https://bugzilla.mozilla.org/show_bug.cgi?id=1054702

浏览次数：2800
严重程度：0（网友投票）