Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (01.07.20):
Neues Advisory

Ein entfernter Angreifer kann eine Schwachstelle in Squid ausnutzen, um
mittels einer Benutzerinteraktion, einen Cross-Site-Scripting (XSS)-Angriff
durchzuführen. Eine weitere Schwachstelle ermöglicht einem solchen
Angreifer einen Denial-of-Service (DoS)-Zustand zu bewirken. In beiden
Fällen können erfolgreiche Angriffe Einfluss auf andere Komponenten
betroffener Systeme haben.

SUSE führt in der referenzierten Sicherheitsmeldung die Schwachstelle
CVE-2020-14059 als mit dem Sicherheitsupdate behoben auf. Die
Kurzbeschreibung der Schwachstelle, als auch die Beschreibung im Bug 1173304
weisen allerdings darauf hin, dass es hier zu einer Vertauschung der
Schwachstellen-IDs bei SUSE gekommen ist und dass mit dem Sicherheitsupdate
eigentlich die Schwachstelle CVE-2020-14058 adressiert wird.

Für die SUSE Linux Enterprise Produkte Server for SAP 12 SP2 und SP3, Server
12 SP4, SP3 BCL, SP3 LTSS, SP2 BCL und SP2 LTSS sowie SUSE Enterprise
Storage 5 und die SUSE OpenStack Versionen Cloud Crowbar 8, Cloud 8 und
Cloud 7 stehen Sicherheitsupdates für Squid zur Verfügung, um die
Schwachstellen zu beheben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2020-1393]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html