FreeBSD：bugzilla -- 多個弱點 (58253655-d82c-11e1-907c-20cf30e32f6d)

medium Nessus Plugin ID 60151

語系：

概要

遠端 FreeBSD 主機缺少一個或多個安全性相關更新。

說明

Bugzilla 安全性公告報告：在 Bugzilla 中發現下列安全性問題：資訊洩漏版本：4.1.1 至 4.2.1、4.3.1

在 HTML bugmail 中，所有錯誤 ID 和附件 ID 會轉換為超連結，若使用者有權查看錯誤或附件，則其將指標停留在這些連結上時，畫面會顯示具有錯誤摘要或附件描述的工具提示。但是在驗證產生電子郵件的使用者權限時，所驗證的對象是錯誤編輯者的使用者權限，而非收件人的權限。這表示一旦其他使用者的權限比收件人的權限更多，就可能會將機密資訊洩漏給收件人。純文字 bugmail 不受影響，因為錯誤與附件 ID 不會轉換為超連結。
資訊洩漏版本：2.17.5 至 3.6.9、3.7.1 至 4.0.6、4.1.1 至 4.2.1、4.3.1

若使用者可查看之錯誤中的公開註解內容中曾提及附件 ID，則該使用者也可在不具此附件存取權限的情況下，直接查看私密附件的描述。