关键漏洞信息 漏洞总结 日期: 2009年9月11日 发现的漏洞类型: SQL注入和敏感数据暴露 漏洞详情 SQL Injection 1 类别: SQL Injection 影响版本: 3.3.2 到 3.4.1, 3.5 修复版本: 3.4.2 描述: 通过Bug.search WebService函数注入SQL到Bugzilla数据库。可能导致数据暴露、篡改或删除。 CVE编号: CVE-2009-3125 参考: https://bugzilla.mozilla.org/show_bug.cgi?id=515191 SQL Injection 2 类别: SQL Injection 影响版本: 2.23.4 到 3.0.8, 3.1.1 到 3.2.4, 3.3.1 到 3.4.1 修复版本: 3.0.9, 3.2.5, 3.4.2 描述: 通过Bug.create WebService函数注入SQL到Bugzilla数据库。可能导致数据暴露、篡改或删除。 CVE编号: CVE-2009-3165 参考: https://bugzilla.mozilla.org/show_bug.cgi?id=515191 Sensitive Data Exposure 类别: Sensitive Data Exposure 影响版本: 3.4rc1 到 3.4.1 修复版本: 3.4.2 描述: 用户重设密码并立即登录后,密码会出现在URL中,可能会记录在日志中。 CVE编号: CVE-2009-3166 参考: https://bugzilla.mozilla.org/show_bug.cgi?id=508189 解决方案 升级: 升级到包含修复的版本。 无法升级?: 可在参考链接中获取补丁。