[Fedora] Schwachstelle in ViewVC vor Version 1.1.4 – FEDORA-2010-4239

[Fedora] Schwachstelle in ViewVC vor Version 1.1.4 - FEDORA-2010-4239

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

Cross-site Scripting Schwachstelle in ViewVC

Das Programm ViewVC ist aufgrund unzureichender Ausnahmebehandlung von
Benutzereingaben anfaellig fuer Cross-site Scripting Angriffe. Dies
ermoeglicht es in der von ViewVC angebotenen Verzeichnisansicht
beliebige Parameter anzugeben und auf diese Weise Scriptcode in die
Webseite einzuschleusen. Ein Angreifer kann diese Schwachstelle
ausnutzen um beliebige Befehle im Browser eines Benutzers auszufuehren.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket viewvc

Fedora 12
Fedora 13

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2010-March/037224.html

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Torsten Voss

– —

Dipl.-Ing.(FH) Torsten Voss (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-4239
2010-03-11 13:20:08
– ——————————————————————————–

Name : viewvc
Product : Fedora 13
Version : 1.1.4
Release : 1.fc13
URL : http://www.viewvc.org/
Summary : Browser interface for CVS and SVN version control repositories
Description :
ViewVC is a browser interface for CVS and Subversion version control
repositories. It generates templatized HTML to present navigable directory,
revision, and change log listings. It can display specific versions of files
as well as diffs between those versions. Basically, ViewVC provides the bulk
of the report-like functionality you expect out of your version control tool,
but much more prettily than the average textual command-line program output.

– ——————————————————————————–
Update Information:

Update to upstream version 1.1.4, fixing one XSS flaw and several bugs: *
http://viewvc.tigris.org/source/browse/viewvc/trunk/CHANGES?revision=2341 *
security fix: escape user-provided query form input to avoid XSS attack * fix
standalone.py failure (when per-root options aren’t used) (issue #445) * fix
annotate failure caused by ignored svn_config_dir (issue #447)
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update viewvc’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFLn1NpWmhIvjFb90URAozGAJ9IMO87eJI73CYZi+BTarXKwCYAMACfUfQY
EUPv5A2KxGhCJkX1D5fiVqM=
=yftg
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben