UPDATE: DFN-CERT-2017-0175 ViewVC: Eine Schwachstelle ermöglicht einen Cross-Site Scripting-Angriff [Linux][Debian][Fedora][SuSE]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (20.02.2017):
Für openSUSE Leap 42.2 und openSUSE Leap 42.1 stehen Sicherheitsupdates
für viewvc bereit.
Version 3 (10.02.2017):
Für Debian Jessie (stable) steht ein Backport-Sicherheitsupdate bereit.
Version 2 (02.02.2017):
Für Fedora 24 und 25 sowie Fedora EPEL 7 stehen Sicherheitsupdates auf
ViewVC 1.1.26 im Status ‘testing’ bereit.
Version 1 (31.01.2017):
Neues Advisory

Betroffene Software:

ViewVC < 1.1.26 Betroffene Plattformen: Debian Linux 8.7 Jessie openSUSE Leap 42.1 openSUSE Leap 42.2 Red Hat Fedora 24 Red Hat Fedora 25 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Ein entfernter, einfach authentifizierter Angreifer mit der Berechtigung, einem Repository eine neue Dateiversion hinzuzufügen (Commit), kann ein ausführbares Skript als Dateiname verwenden und dadurch einen Cross-Site-Scripting (XSS)-Angriff auf Benutzer von ViewVC durchführen. Der Hersteller informiert über die Schwachstelle und stellt die Programmversion 1.1.26 bereit, um die Schwachstelle zu beheben. Für Fedora EPEL 6 steht diese Programmversion als Sicherheitsupdate im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-EPEL-2017-b17ae6b75a (Fedora EPEL 6, viewvc-1.1.26-1.el6) https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-b17ae6b75a

Patch:

Fedora Security Update FEDORA-2017-2bce6ed778 (Fedora 24,
viewvc-1.1.26-1.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-2bce6ed778

Patch:

Fedora Security Update FEDORA-2017-bd3c3c957f (Fedora 25,
viewvc-1.1.26-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-bd3c3c957f

Patch:

Fedora Security Update FEDORA-EPEL-2017-cf95057959 (Fedora EPEL 7,
viewvc-1.1.26-1.el7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-cf95057959

Patch:

Debian Security Advisory DSA-3784-1

https://www.debian.org/security/2017/dsa-3784

Patch:

openSUSE Security Update openSUSE-SU-2017:0501-1

http://lists.opensuse.org/opensuse-updates/2017-02/msg00082.html

CVE-2017-5938: Schwachstelle in ViewVC ermöglicht
Cross-Site-Scripting-Angriff

Die Namen von Verzeichnissen und Dateien in Repositories werden von ViewVC
nicht ausreichend bereinigt, bevor sie an die Variable ‘nav_path’ übergeben
werden, auf die das Standard-Template zur Darstellung des Repository-Inhalts
von ViewVC zugreift.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0175/

Fedora Security Update FEDORA-EPEL-2017-b17ae6b75a (Fedora EPEL 6,
viewvc-1.1.26-1.el6):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-b17ae6b75a

ViewVC GitHub Issue #137: XSS vulnerability in nav_path template data:
https://github.com/viewvc/viewvc/issues/137

Fedora Security Update FEDORA-2017-2bce6ed778 (Fedora 24,
viewvc-1.1.26-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-2bce6ed778

Fedora Security Update FEDORA-2017-bd3c3c957f (Fedora 25,
viewvc-1.1.26-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-bd3c3c957f

Fedora Security Update FEDORA-EPEL-2017-cf95057959 (Fedora EPEL 7,
viewvc-1.1.26-1.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-cf95057959

Debian Security Advisory DSA-3784-1:
https://www.debian.org/security/2017/dsa-3784

Schwachstelle CVE-2017-5938 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5938

openSUSE Security Update openSUSE-SU-2017:0501-1:
http://lists.opensuse.org/opensuse-updates/2017-02/msg00082.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.