Vlákno názorů k článku
Chyba v Bugzille umožňovala stát se admistrátorem
od Jiří J. - Jako obvykle, nadpis dělá z malého velblouda velkého:
*...
-
Jiří J. (neregistrovaný)
Jako obvykle, nadpis dělá z malého velblouda velkého:
* This bug enables users to masquerade their identity and register under an email address not in their control.
* In some installations, this can automatically provide the user with certain elevated permissions, if these are given to groups defined by regex matching.
* These permissions can include the visibility of otherwise private bug data, the ability to edit and revise bug submissions, as well as other critical actions on the installation.
http://www.checkpoint.com/blog/bug-bug-tracker/
Tedy pokud nepřidělujete automaticky administrační skupiny na základě např. doménové části email adresy ("User Regexp" políčko v nastavení skupiny) nemusíte si rušit dovolenou.
Update ale určitě neuškodí, už jen kvůli prvnímu bodu.
-
Ondra Satai NekolaZlatý podporovatelSamo o sobe to vypada celkem neskodne, problem je v tom, ze se je to pro zle hochy snadna cesta k navodum na zero days.
