DFN-CERT-2016-1010 OpenStack Horizon: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff [Linux][RedHat]

DFN-CERT-2016-1010 OpenStack Horizon: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

OpenStack Horizon
Red Hat Enterprise Linux OpenStack 5
Red Hat Enterprise Linux OpenStack 6
Red Hat Enterprise Linux OpenStack 7
Red Hat Enterprise Linux OpenStack 8

Betroffene Plattformen:

Red Hat Enterprise Linux 6
Red Hat Enterprise Linux 7

Eine Schwachstelle in OpenStack Horizon ermöglicht einem entfernten, einfach
authentifizierten Angreifer einen Cross-Site-Scripting (XSS)-Angriff
durchzuführen.

Red Hat stellt Sicherheitsupdates für OpenStack 5 (Icehouse) für Red Hat
Enterprise Linux 6 sowie für OpenStack 5 (Icehouse), 6 (Juno), 7 (Kilo) und
8 (Liberty) für Red Hat Enterprise Linux 7 bereit.

Patch:

Red Hat Security Advisory RHSA-2016:1268-1

http://rhn.redhat.com/errata/RHSA-2016-1268.html

Patch:

Red Hat Security Advisory RHSA-2016:1269-1

http://rhn.redhat.com/errata/RHSA-2016-1269.html

Patch:

Red Hat Security Advisory RHSA-2016:1270-1

http://rhn.redhat.com/errata/RHSA-2016-1270.html

Patch:

Red Hat Security Advisory RHSA-2016:1271-1

http://rhn.redhat.com/errata/RHSA-2016-1271.html

Patch:

Red Hat Security Advisory RHSA-2016:1272-1

http://rhn.redhat.com/errata/RHSA-2016-1272.html

CVE-2016-4428: Schwachstelle in OpenStack Horizon ermöglicht
Cross-Site-Scripting-Angriff

Es existiert eine Schwachstelle in OpenStack Horizon aufgrund unzureichender
Bereinigung von bereitgestellten AngularJS-Inhalten. Ein Benutzer, in der
Rolle als Angreifer, kann diese Schwachstelle ausnutzen und speziell
präparierte AngularJS-Vorlagen in den Dashboard-Vorlagen bereitstellen, um
andere Benutzer dazu zu verleiten dieses zu verwenden. Dadurch kann der
Angreifer Cross-Site-Scripting-Angriffe durchführen und so Informationen
ausspähen, wie beispielsweise die Zugangsidentitäten von Benutzern.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1010/

Schwachstelle CVE-2016-4428 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4428

Red Hat Security Advisory RHSA-2016:1268-1:
http://rhn.redhat.com/errata/RHSA-2016-1268.html

Red Hat Security Advisory RHSA-2016:1269-1:
http://rhn.redhat.com/errata/RHSA-2016-1269.html

Red Hat Security Advisory RHSA-2016:1270-1:
http://rhn.redhat.com/errata/RHSA-2016-1270.html

Red Hat Security Advisory RHSA-2016:1271-1:
http://rhn.redhat.com/errata/RHSA-2016-1271.html

Red Hat Security Advisory RHSA-2016:1272-1:
http://rhn.redhat.com/errata/RHSA-2016-1272.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben