[Fedora] Schwachstelle in OCS Inventory – FEDORA-2011-14923

[Fedora] Schwachstelle in OCS Inventory - FEDORA-2011-14923

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2011-4024 – Cross-site Scripting Schwachstelle in OSC Inventory

Im Inventar-Dienst OCS Inventory werden bestimmte Daten nicht
ausreichend gefiltert, bevor diese in der Administrationsoberflaeche
ausgegeben werden. Einem entfernten, authentifizierten Angreifer erlaubt
dies, mittels eines angelegten Inventories, welches HTML- oder
Skriptbefehle enthaelt, eben jene Befehle im Browser anderer Benutzer
zur Ausfuehrung zu bringen und damit ggf. seine Rechte zu erweitern.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket ocsinventory

Fedora 16

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Matthias Braeck

– —
Matthias Braeck, B.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn

– —————————————————————————=
– —–
Fedora Update Notification
FEDORA-2011-14923
2011-10-25 21:41:11
– —————————————————————————=
– —–

Name : ocsinventory
Product : Fedora 16
Version : 1.3.3
Release : 5.fc16
URL : http://www.ocsinventory-ng.org/
Summary : Open Computer and Software Inventory Next Generation
Description :
Open Computer and Software Inventory Next Generation is an application
designed to help a network or system administrator keep track of the
computers configuration and software that are installed on the network.

OCS Inventory is also able to detect all active devices on your network,
such as switch, router, network printer and unattended devices.

OCS Inventory NG includes package deployment feature on client computers.

ocsinventory is a metapackage that will install the communication server,
the administration console and the database server (MySQL).

– —————————————————————————=
– —–
Update Information:

Fix a XSS vulnerability
– —————————————————————————=
– —–
References:

[ 1 ] Bug #748072 – CVE-2011-4024 ocsinventory: XSS flaw
https://bugzilla.redhat.com/show_bug.cgi?id=3D748072
– —————————————————————————=
– —–

This update can be installed with the “yum” update program. Use =

su -c ‘yum update ocsinventory’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on t=
he
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– —————————————————————————=
– —–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.16 (GNU/Linux)

iQEcBAEBAgAGBQJOt/pYAAoJEJtyb8U7iGZBQokH/36FO1ss8UqCHjDoC+eEfKEc
3sk1IuXqWxiU4tZLdpVoqG89xv273hGKEjqGhKUV9AqIcyGBArsO0PM3fBIL7A4l
iXxUHAxXOobn6ljEb/whhzC4iFHJtnEmzLfWbzaaEbEMfaWV47WdTu9NDkjys5Zz
5j9/8/84eDZgEEBtKY5Pb4vZZAKQ3tmpKjSrdCfp7cObmx9dOtxVA5ifTH9t+pLx
J4fS68080cMbOKiCWys14heDUcFRLEtgE+aBTZa4VYR1t4yMV/EPjiqWl+xi/fPp
F6miLoxvnKazbB7dFrQ6eukN1eVgc3gtCAF0ONFqzgjc4l0P/Sz9GwZxBpaJh2E=
=21YA
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben