DFN-CERT-2016-0812 Mozilla Bugzilla: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff [Linux][Fedora]

DFN-CERT-2016-0812 Mozilla Bugzilla: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Mozilla Bugzilla <= 4.4.11 Mozilla Bugzilla <= 5.0.2 Betroffene Plattformen: Red Hat Fedora 22 Red Hat Fedora 23 Red Hat Fedora 24 Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe eines speziell präparierten Fehlerberichts in Bugzilla graphische Abhängigkeitsbäume erzeugen, die einen Cross-Site-Scripting-Angriff (XSS) ermöglichen. Für Fedora 22, 23 und 24 stehen Sicherheitsupdates auf Bugzilla 4.4.12 (Fedora 22 und 23) und 5.0.3 (Fedora 24) im Status 'testing' bereit, welche die Schwachstelle beheben. Patch: Fedora Security Update FEDORA-2016-37a8cb68c5 (Fedora 24) https://bodhi.fedoraproject.org/updates/FEDORA-2016-37a8cb68c5

Patch:

Fedora Security Update FEDORA-2016-5bd283c48b (Fedora 22)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-5bd283c48b

Patch:

Fedora Security Update FEDORA-2016-6cdcddef2c (Fedora 23)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-6cdcddef2c

Patch:

Bugzilla Security Advisory 4.4.11 und 5.0.2

https://www.bugzilla.org/security/4.4.11/

CVE-2016-2803: Schwachstelle in Bugzilla ermöglicht
Cross-Site-Scripting-Angriff

Bugzilla verwendet das Paket ‘dot’ zur Darstellung von Abhängigkeitsbäumen
in Fehlerberichten. Die Eingangsparameter werden dabei nicht ausreichend
geprüft.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0812/

Fedora Security Update FEDORA-2016-37a8cb68c5 (Fedora 24):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-37a8cb68c5

Fedora Security Update FEDORA-2016-5bd283c48b (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-5bd283c48b

Fedora Security Update FEDORA-2016-6cdcddef2c (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-6cdcddef2c

Schwachstelle CVE-2016-2803 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2803

Bugzilla Security Advisory 4.4.11 und 5.0.2:
https://www.bugzilla.org/security/4.4.11/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben