除虫工具Bugzilla曝零日漏洞，150个大型开源项目受影响

　　安全公司Check Point近日利用Perl编程语言中发现的新型缺陷成功入侵了流行的bug追踪工具——Bugzilla，并成功在管理员群组中增加了四个用户账号，获得最高权限后发现了更多漏洞。

　　目前大约有150个大型软件开发和开源项目，包括Mozilla、OpenOffice、RedHat甚至Linux内核，都使用Bugzilla来追踪产品漏洞和缺陷。

　　本周一，Bugzilla向公众发布了补丁，但在上周接获Check Point的私下漏洞报告后，Bugzilla已经第一时间通知了上述大型开源项目。

　　根据提交给Bugzilla的漏洞报告，最新发现的漏洞并非SQL注入漏洞，而是全新的安全缺陷。攻击者可以利用Bugzilla的漏洞修改用户创建流程中的任意数据域，甚至包括登录用户名，这意味着攻击者可以将普通用户名（邮件地址），修改为匹配管理员邮件地址后缀的字符串正则表达式，从而获得权限提升。Mozilla负责Bugzilla项目的开发者Gervase Markham指出，Bugzilla的产品代码中一共有15处地方存在安全问题，其中有4处很可能已经被黑客利用，他呼吁任何运行Perl web应用的IT人员尽快审计Perl语言漏洞。