Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

PyWebDAV <= 0.9.4 Betroffene Plattformen: Extra Packages for Red Hat Enterprise Linux 5 Durch Ausnutzen dieser Schwachstelle kann ein im benachbarten Netzwerk befindlicher, nicht authentifizierter Angreifer beliebige SQL-Befehle zur Ausführung bringen. Für Fedora Extended Packages for Enterprise Linux 5 wird ein aktualisiertes Paket von pywebdav-0.9.4.1-1.el5 (im Status "testing") bereitgestellt, um diese Schwachstelle zu beheben. Patch: Fedora Security Update FEDORA-EPEL-2014-4620 https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4620/pywebdav-0.9.4.1-1.el5

CVE-2011-0432: Schwachstellen in PyWebDAV erlauben das Ausführen beliebiger
SQL-Befehle

Mehrere Schwachstellen in der WebDAV-Implementierung PyWebDAV vor Version
0.9.4.1 ermöglichen einem im benachbarten Netzwerk befindlichen, nicht
authentifizierten Angreifer das Ausführen von SQL-Befehlen mittels
manipulierter Zugangsdaten. Zur Verwaltung der Kommunikation mit einer
MySQL-Datenbank steht die Klasse Mconn in dbconn.py zur Verfügung. Diese
führt in mehreren Methoden nur eine unzureichende Prüfung von SQL-Parametern
durch, so dass Angreifer durch Manipulation der Parameter SQL-Befehle
einschleusen können.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1646/

Fedora Security Update FEDORA-EPEL-2014-4620:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4620/pywebdav-0.9.4.1-1.el5

Schwachstelle CVE-2011-0432 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-0432

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.