製品・ソフトウェアに関する情報

JVN脆弱性詳細

Bugzilla の mod_perl 初期化スクリプトにおけるデータベースのパスワードなどを取得される脆弱性

Title	Bugzilla の mod_perl 初期化スクリプトにおけるデータベースのパスワードなどを取得される脆弱性
Summary	Bugzilla の mod_perl 初期化スクリプトは、Bugzilla Apache を設定しないで、ファイルパーミッションを上書きする .htaccess パーミッションを許可するため、データベースのユーザ名およびパスワードを取得される脆弱性が存在します。
Possible impacts	第三者により、localconfig ファイルに対する直接リクエストを介して、データベースのユーザ名およびパスワードを取得される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Feb. 2, 2007, midnight
Registration Date	Sept. 25, 2012, 4:47 p.m.
Last Update	Sept. 25, 2012, 4:47 p.m.

Affected System

Mozilla Foundation

Bugzilla 2.23.3

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2007-0792	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0792
National Vulnerability Database (NVD)
2	CVE-2007-0792	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-0792

ベンダー情報

No	Name	URL
Mozilla
1	2.20.3, 2.22.1, and 2.23.3 Security Advisory	http://www.bugzilla.org/security/2.20.3/

Change Log

No	Changed Details	Date of change
0	[2012年09月25日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2007-0792

Summary	The mod_perl initialization script in Bugzilla 2.23.3 does not set the Bugzilla Apache configuration to allow .htaccess permissions to override file permissions, which allows remote attackers to obtain the database username and password via a direct request for the localconfig file.
Summary	La secuencia de comandos de inicialización de mod_perl en Bugzilla 2.23.3 no establece la configuración de Bugzilla Apache para permitir sobrescribir los permisos del fichero .htaccess, lo cual permite a atacantes remotos obtener el nombre de usuario y la contraseña mediante una petición directa al fichero localconfig.
Publication Date	Feb. 7, 2007, 4:28 a.m.
Registration Date	Jan. 29, 2021, 2:06 p.m.
Last Update	April 23, 2026, 9:35 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:mozilla:bugzilla:2.23.3:::::::*

Related information, measures and tools

No	URL	refsource
1	http://osvdb.org/35862	cve@mitre.org
2	http://securityreason.com/securityalert/2222	cve@mitre.org
3	http://securitytracker.com/id?1017585	cve@mitre.org
4	http://www.bugzilla.org/security/2.20.3/	cve@mitre.org
5	http://www.securityfocus.com/archive/1/459025/100/0/threaded	cve@mitre.org
6	http://www.securityfocus.com/bid/22380	cve@mitre.org
7	http://www.vupen.com/english/advisories/2007/0477	cve@mitre.org
8	https://exchange.xforce.ibmcloud.com/vulnerabilities/32252	cve@mitre.org
9	http://osvdb.org/35862	af854a3a-2127-422b-91ae-364da2661108
10	http://securityreason.com/securityalert/2222	af854a3a-2127-422b-91ae-364da2661108
11	http://securitytracker.com/id?1017585	af854a3a-2127-422b-91ae-364da2661108
12	http://www.bugzilla.org/security/2.20.3/	af854a3a-2127-422b-91ae-364da2661108
13	http://www.securityfocus.com/archive/1/459025/100/0/threaded	af854a3a-2127-422b-91ae-364da2661108
14	http://www.securityfocus.com/bid/22380	af854a3a-2127-422b-91ae-364da2661108
15	http://www.vupen.com/english/advisories/2007/0477	af854a3a-2127-422b-91ae-364da2661108
16	https://exchange.xforce.ibmcloud.com/vulnerabilities/32252	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List