4.3. Bugzilla

4.3.1. Prevent users injecting malicious Javascript

Si vous avez installé Bugzilla version 2.22 ou une version ultérieure pour la première fois (pas une mise à jour à partir d'une ancienne installation), alors le paramètre utf8 est activé par défaut. Ceci permet à Bugzilla de définir explicitement l'encodage de caractères, suivant ainsi la a recommandation du CERT conseillant exactement cela. Ce qui suit par conséquent ne s'adresse pas à vous ; conservez seulement le paramètre utf8 activé.

Si vous avez fait une mise à jour à partir d'une ancienne version, il peut alors être possible pour un utilisateur de Bugzilla de tirer avantage del'ambiguïté de l'encodage de caractères pour injecter du code HTML dans les commentaires de Bugzilla. Ceci pourrait inclure du code malveillant. À cause des problèmes d'internationalisation, nous ne pouvons pas activer le paramètre utf8 sur des mises à jour d'installations. Activer ce paramètre manuellement empêchera ce problème de survenir.