DFN-CERT-2016-1198 Red Hat Satellite, Spacewalk-Java: Mehrere Schwachstellen ermöglichen verschiedene Cross-Site-Scripting-Angriffe [Linux][RedHat]

DFN-CERT-2016-1198 Red Hat Satellite, Spacewalk-Java: Mehrere Schwachstellen ermöglichen verschiedene Cross-Site-Scripting-Angriffe [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Red Hat Network Satellite Red Hat Satellite 5.7 for RHEL 6
Spacewalk-Java

Betroffene Plattformen:

Red Hat Enterprise Linux 6

Es existieren mehrere Schwachstellen in Red Hat Satellite und
Spacewalk-Java, die einem entfernten, nicht authentifizierten Angreifer die
Durchführung von Cross-Site-Scripting-Angriffen ermöglichen.

Red Hat stellt ein Sicherheitsupdate für Red Hat Satellite 5.7 und
Spacewalk-Java für Red Hat Enterprise Linux 6 bereit, um die Schwachstellen
zu beheben.

Patch:

Red Hat Security Advisory RHSA-2016:1484

http://rhn.redhat.com/errata/RHSA-2016-1484.html

CVE-2016-3080: Schwachstelle in Spacewalk-Java ermöglicht
Cross-Site-Scripting-Angriffe

In Spacewalk-Java existiert eine Schwachstelle in der Darstellung von
Monitoring-Sensoren (Probes). HTML und Javascript können in die Werte für
Red Hat Network Monitoring Daemon (RHNMD)-Benutzer oder für
Dateisystemparameter in Satellite eingebettet werden, wodurch schädliche
Inhalte in die Webseite eingeschleust werden können, welche dann zusammen
mit den Probedaten angezeigt werden. Ein entfernter, nicht authentifizierter
Angreifer kann somit Cross-Site-Scripting (XSS)-Angriffe gegen andere
Benutzer durchführen.

CVE-2016-3097: Schwachstellen in Spacewalk-Java ermöglichen
Cross-Site-Scripting-Angriffe

In Spacewalk-Java existieren mehrere Schwachstellen in Formularen des
‘Entitlement’-Management und bei der Erstellung von Elementen im System Set
Manager (SSM), bzw. bezüglich der Darstellung von Gruppennamen (Group
Names), die einem entfernten, nicht authentifizierten Angreifer die
Durchführung von Cross-Site-Scripting (XSS)-Angriffen gegen andere Benutzer
ermöglichen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1198/

Schwachstelle CVE-2016-3080 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3080

Schwachstelle CVE-2016-3097 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3097

Red Hat Security Advisory RHSA-2016:1484:
http://rhn.redhat.com/errata/RHSA-2016-1484.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben