[Fedora] Schwachstellen in MoinMoin bis einschliesslich Version 1.8.1 - FEDORA-2009-6557 / FEDORA-2009-6559 / FEDORA-2009-6603 « DFN CERT Advisories

Open Source im professionellen Einsatz	Newsletter abonnieren Seite durchsuchen
HEFTARCHIV \| NEWS \| E-BIBLIOTHEK \| VIDEO \| BLOGS \| WHITEPAPER \| EVENTS \| ACADEMY \| ABO \| SHOP

Live-Streaming

IT-Profimarkt

Stellenangebote

Seminarsuche

Home » DFN CERT Adviso... » [Fedora] Schwachstellen in MoinMoin bis einschliesslich Version 1.8.1 - FEDORA-2009-6557 / FEDORA-2009-6559 / FEDORA-2009-6603

[Fedora] Schwachstellen in MoinMoin bis einschliesslich Version 1.8.1 - FEDORA-2009-6557 / FEDORA-2009-6559 / FEDORA-2009-6603

18.06.2009 15:30

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2008-3381 - Cross-site Scripting Schwachstelle in AdvancedSearch vom
MoinMoin Wiki

Das AdvancedSearch Makro (in 'macro/AdvancedSearch.py') vom MoinMoin
Wiki System filtert Benutzereingaben unzureichend. Entfernte Angreifer
koennen diese Schwachstelle fuer Cross-Site Skripting ausnutzen.

CVE-2008-0781 - Mehrere Cross-Site Scripting Schwachstellen im MoinMoin
Wiki AttachFile Dialog

Der AttachFile Dialog des MoinMoin Wikis enthaelt mehrere Cross-Site
Scripting Schwachstellen. Die Eingabefelder fuer die 'message',
'pagename' und 'target' Variablen werden nicht ausreichend auf
unzulaessige Zeichenfolgen getestet. Ein entfernter Angreifer kann
diese Schwachstellen ausnutzen um beliebigen Scriptcode im Browser
anderer Benutzer auszufuehren.

CVE-2009-0260 - Mehrere Cross-site Scripting Schwachstellen im MoinMoin
Wiki

Im MoinMoin Wiki-System kann in der WikiSandbox Komponente durch die
Parameter 'rename' und 'draw' fuer die AttachFile-Aktion HTML- und
Scriptcode eingeschleust werden, der eventuell im Browser anderer
Benutzer ausgefuehrt wird. Ein entfernter Angreifer kann dadurch
Cross-Site Scripting Angriffe durchfuehren.

CVE-2009-0312 - Cross-site Scripting Schwachstelle in der MoinMoin Wiki
Antispam Funktion

MoinMoin Wiki beinhaltet eine Cross-site Scripting Schwachstelle in
der integrierten Antispam Funktion. Ein Angreifer dem es gelingt die
Schwachstelle auszunutzen, kann beliebigen HTML- und Scriptcode in die
Anwendung einschleusen und im Browser des Benutzers ausfuehren.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket moin

Fedora 9
Fedora 10
Fedora 11

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2009-June/msg00772.html
https://www.redhat.com/archives/fedora-package-announce/2009-June/msg00775.html
https://www.redhat.com/archives/fedora-package-announce/2009-June/msg00842.html

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Klaus Moeller, DFN-CERT

- --
Dipl. Inform. Klaus Moeller (Incident Response Team)
Phone: +49 40 808077-555, Fax: +49 40 808077-556

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrase 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

- --------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2009-6603
2009-06-18 11:00:48
- --------------------------------------------------------------------------------

Name : libpng
Product : Fedora 9
Version : 1.2.37
Release : 1.fc9
URL : http://www.libpng.org/pub/png/
Summary : A library of functions for manipulating PNG image format files
Description :
The libpng package contains a library of functions for creating and
manipulating PNG (Portable Network Graphics) image format files. PNG
is a bit-mapped graphics format similar to the GIF format. PNG was
created to replace the GIF format, since GIF uses a patented data
compression algorithm.

Libpng should be installed if you need to manipulate PNG format image
files.

- --------------------------------------------------------------------------------
Update Information:

Update to libpng 1.2.37, to fix CVE-2009-2042. This is a pretty low-risk issue,
but it's been classified as a security issue...
- --------------------------------------------------------------------------------
ChangeLog:

* Sat Jun 13 2009 Tom Lane <tgl@redhat.com> 2:1.2.37-1
- - Update to libpng 1.2.37, to fix CVE-2009-2042
Related: #504782
* Wed Feb 25 2009 Tom Lane <tgl@redhat.com> 2:1.2.35-1
- - Update to libpng 1.2.35, to fix CVE-2009-0040
* Fri Jan 9 2009 Tom Lane <tgl@redhat.com> 2:1.2.34-1
- - Update to libpng 1.2.34
* Sun Nov 2 2008 Tom Lane <tgl@redhat.com> 2:1.2.33-1
- - Update to libpng 1.2.33
* Sat May 31 2008 Tom Lane <tgl@redhat.com> 2:1.2.29-1
- - Update to libpng 1.2.29 (fixes low-priority security issue CVE-2008-1382)
Related: #441839
- --------------------------------------------------------------------------------
References:

[ 1 ] Bug #504782 - libpng: Interlaced Images Information Disclosure Vulnerability
https://bugzilla.redhat.com/show_bug.cgi?id=504782
- --------------------------------------------------------------------------------

This update can be installed with the "yum" update program. Use
su -c 'yum update libpng' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
- --------------------------------------------------------------------------------

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFKOkFhk0kIxZMiiQ8RAnWiAJwJOjzNhfK6l9CSKNn/pZSlpV+VJwCgxjRx
KHBzsAxBX71r6iwNxUpMugg=
=FZIJ
-----END PGP SIGNATURE-----