Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Paket python-django-horizon
Betroffene Plattformen:
Fedora 17
Eine Cross-Site Scripting Schwachstelle in Django Horizon ermöglicht es,
beliebige Befehle im Browser eines Benutzers auszuführen.
Software Upgrade:
Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.
http://dl.fedoraproject.org/pub/fedora/linux/updates/
CVE-2012-2094: Cross-Site Scripting Schwachstelle Django Horizon
Django Horizon enthält eine Schwachstelle in der Log Viewer Komponente.
Werden Daten von sog. Guest Consoles gelesen erfolgt vor der Anzeige
keinerlei Input Sanitzing, was es ermöglicht HTML und Script-Code in eine
betroffen Webanwendung einzuschleusen. Ein Angreifer kann auf diese Weise
beliebigen Schadcode im Browser eines Benutzers ausführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0818/
Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2012-April/079160.html
Schwachstelle CVE-2012-2094:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2094
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
