DFN-CERT-2015-1377 IPython: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff [Linux][Fedora]

DFN-CERT-2015-1377 IPython: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

IPython < 3.2.2 IPython < 4.0.5 IPython < 4.1 Betroffene Plattformen: Red Hat Fedora 21 Red Hat Fedora 22 Red Hat Fedora 23 Ein entfernter, einfach authentifizierter Angreifer kann die Schwachstelle in IPython Notebook ausnutzen, um mit sorgfältig präparierten Ordnernamen und URLs einen Cross-Site-Scripting-Angriff durchzuführen und dadurch beliebigen Programmcode zur Ausführung bringen. Für Fedora 21, 22 und 23 werden Sicherheitsupdates in Form der Pakete ipython-2.4.1-8.fc21, ipython-2.4.1-8.fc22 und ipython-3.2.1-2.fc23 im Status 'testing' zur Verfügung gestellt. Patch: Fedora Security Update FEDORA-2015-14900 https://bodhi.fedoraproject.org/updates/FEDORA-2015-14900

Patch:

Fedora Security Update FEDORA-2015-14901

https://bodhi.fedoraproject.org/updates/FEDORA-2015-14901

Patch:

Fedora Security Update FEDORA-2015-14902

https://bodhi.fedoraproject.org/updates/FEDORA-2015-14902

FEDORA_iPythonBug_1259405: Schwachstelle in IPython Notebook ermöglicht
Cross-Site-Scripting-Angriff

Es besteht eine Schwachstelle in IPython Notebook, die durch die Verwendung
von lokalen Ordnernamen in HTML-Templates ohne abschließende Escape-Sequenz
hervorgerufen wird. Betroffen ist die URI ” GET /tree/* “.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1377/

Fedora Security Update FEDORA-2015-14900:
https://bodhi.fedoraproject.org/updates/FEDORA-2015-14900

Fedora Security Update FEDORA-2015-14901:
https://bodhi.fedoraproject.org/updates/FEDORA-2015-14901

Fedora Security Update FEDORA-2015-14902 :
https://bodhi.fedoraproject.org/updates/FEDORA-2015-14902

CVE Request : CSRF in IPython/Jupyter notebook Tree:
http://seclists.org/oss-sec/2015/q3/474

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben