DFN-CERT-2017-0392 qBittorrent: Zwei Schwachstellen ermöglichen einen Cross-Site-Scripting-Angriff und die Übernahme von Berechtigungen [Linux][Unix][FreeBSD][Apple][Windows]

DFN-CERT-2017-0392 qBittorrent: Zwei Schwachstellen ermöglichen einen Cross-Site-Scripting-Angriff und die Übernahme von Berechtigungen [Linux][Unix][FreeBSD][Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

qBittorrent <= 3.3.10 Betroffene Plattformen: Apple Mac OS X FreeBSD GNU/Linux Microsoft Windows Zwei Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer einen Cross-Site-Scriipting (XSS)-Angriff gegen Benutzer des WebUI eines qBittorrent-Klienten durchzuführen oder in einem Clickjacking-Angriff die Berechtigungen eines Benutzers zu übernehmen. The qBittorrent Project hat qBittorrent Version 3.3.11 als Sicherheitsupdate veröffentlicht, um diese Schwachstellen und eine Reihe weiterer Fehler zu beheben. Patch: qBittorrent Release Notes https://www.qbittorrent.org/news.php

CVE-2017-6504: Schwachstelle in qBittorrent ermöglicht Erlangen von
Benutzerrechten

Das WebUI in qBittorrent bevor 3.3.11 versäumt es den X-Frame-Options-Header
zu setzen, wodurch es anfällig für Clickjacking ist. Ein entfernter, nicht
authentisierter Angreifer kann die Schwachstelle ausnutzen, um einen
Clickjacking-Angriff durchzuführen und somit Benutzerrechte zu erlangen.

CVE-2017-6503: Schwachstelle in qBittorrent ermöglicht
Cross-Site-Scripting-Angriff

Das WebUI in qBittorrent bevor 3.3.11 versäumt es für zahlreiche Werte eine
Code-Umschaltung durchzuführen, wodurch es anfällig für Cross-Site-Scripting
(XSS) ist. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle ausnutzen, um einen Cross-Site-Scription (XSS)-Angriff
durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0392/

qBittorrent Release Notes:
https://www.qbittorrent.org/news.php

Schwachstelle CVE-2017-6503 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6503

Schwachstelle CVE-2017-6504 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6504

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben