今天 Bugzilla 全系发布了更新版本,包括: 4.4.6, 4.2.11, 4.0.15 和开发版 4.5.6. 这几个版本都是修复了刚发现的一些0day安全问题。目前 4.4.6 是最新的稳定版本。
安全问题包括: * 注册账号时 'realname' 参数没进行安全过滤
* 很多地方发现跨站点脚本攻击漏洞
* 私有评论可显示给 flagmail 的接收者,而这个接收者实际上没有查看的权限
* CSV 搜索结果导出时如果包含特殊值就会导致攻击用户的电脑 此外 Bugzilla 5.0 也在开发中,一旦发布,4.x 系列就不再维护。 下载地址:http://www.bugzilla.org/download/
发行说明:
-----------------------
4.4.6: http://www.bugzilla.org/releases/4.4.6/release-notes.html
4.2.11: http://www.bugzilla.org/releases/4.2.11/release-notes.html
4.0.15: http://www.bugzilla.org/releases/4.0.15/release-notes.html | 
