Lisandro Pardo
Bugzilla es una herramienta fundamental a través de la cual miles de desarrolladores y usuarios avanzados pueden reportar bugs y coordinar esfuerzos en múltiples proyectos. Como tal, no suele tener mucha presencia entre los medios, pero en esta ocasión, la firma de seguridad Check Point Software Technologies descubrió un bug 0-day en Bugzilla que podría llevar a la exposición de vulnerabilidades no anunciadas, causando una crisis de seguridad en el proceso.
En general, el usuario promedio no necesita mantener ninguna clase de relación con Bugzilla. Algunos programas tal vez sugieran enviar un reporte directo que sea de utilidad a los desarrolladores, pero nada más que eso. Bugzilla no sólo sirve para reportar y registrar bugs, sino para asistir a cada desarrollador participante en la administración de sus proyectos. ¿Qué clase de proyectos se pueden encontrar ahí? Obviamente, el primero de la lista es Mozilla con sus productos, pero también aparecen iniciativas de muy alto perfil como WebKit, GNOME, LibreOffice y el propio kernel Linux, entre otras. Creo que estamos de acuerdo al decir que no todos los bugs deben ser revelados de inmediato. Si la vulnerabilidad tiene el potencial de generar una situación muy delicada que afecte la seguridad de los usuarios, y los desarrolladores tienen los recursos para responder antes de que se vuelva más grave, mantener silencio parece ser una decisión lógica.
Sin embargo, ¿qué pasa cuando el sistema para procesar bugs tiene un bug propio? La gente de Check Point Software Technologies aplicó una serie de “fallas” en Perl, lo que le permitió al atacante comprometer la integridad de la base de datos de Bugzilla. En esencia, lo que logró hacer Check Point es crear varias cuentas de usuario con privilegios completos de administrador, compatibles con mozilla.com, mozilla.org, y bugzilla.org. Haciendo uso de estos privilegios elevados, las cuentas tienen acceso a detalles sobre aquellos bugs que aún no han sido reportados al público, algo que podría dar a un atacante la ventaja táctica que necesita para vulnerar un producto. Parte del bug descubierto por Check Point explota el sistema de automatización basado en correos electrónicos que los desarrolladores tienen a su disposición.
Por suerte, la mayoría de los gigantes que usan a Bugzilla ya han corregido el error, pero todavía hay proyectos pequeños que deben actualizarse. Ahora, por si queda alguna duda, esto no afecta al usuario final. Para variar, no necesitamos detonar nuestras instalaciones de Firefox o cambiar contraseñas en forma masiva. El bug fue detectado, contenido y eliminado, pero si eres desarrollador y utilizas a Bugzilla, tal vez quieras averiguar un poco más. Al mismo tiempo, hay que darle crédito a Bugzilla. En doce años, es el primer bug de elevación de privilegios en su expediente.
