Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Paket tinymce-spellchecker
Betroffene Plattformen:
Fedora 17
Fedora 18
Der TinyMCE Spellchecker enthält eine Schwachstelle beim Santizing von
Funktionsparametern, welche es schlimmstenfalls ermöglicht beliebige Befehle
mit den Rechten der Anwendung auszuführen.
Software Upgrade:
Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.
http://dl.fedoraproject.org/pub/fedora/linux/updates/
CVE-2012-6112: Schwachstelle im TinyMCE Spellchecker
Der TinyMCE Spellchecker beinhaltet eine Schwachstelle die Codeausführung
ermöglicht. Grund hierfür ist ein unzureichendes Sanitizing bestimmter
Argumente vor dem Vergleich von Wörterbucheinträgen. Ein Angreifer kann
diese Schwachstelle schlimmstenfalls ausnutzen um beliebige Befehle mit den
Rechten von TinyMCE auszuführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0201/
Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2013-February/098139.html
http://lists.fedoraproject.org/pipermail/package-announce/2013-February/098193.html
Schwachstelle CVE-2012-6112:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-6112
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
