Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
JFreeChart
Betroffene Plattformen:
Solaris Cluster 3.2
Solaris Cluster 3.3 für SPARC ohne 150100-01 und 149432-02
Solaris Cluster 3.3 für X86 ohne 150101-01 und 149433-02
Zwei Cross-site Scripting Schwachstellen in JFreeChart ermöglichen einem
entfernten Angreifer beliebige HTML- und Script-Befehle auszuführen.
Software Upgrade:
Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.
CVE-2007-6307: Cross-site Scripting Schwachstellen im JFreeChart Image Map
Feature
JFreeChart enthält in der Datei ‘clickstats.php’ eine Cross-site Scripting
Schwachstelle. Diese ermöglicht einem entfernten Angreifer durch das Senden
eines präparierten ‘link’-Parameters oder eines präparierten User-Agent HTTP
Headers beliebige HTML- und Script-Befehle zur Ausführung zu bringen.
CVE-2007-6306: Cross-site Scripting Schwachstellen im JFreeChart Image Map
Feature
In JFreeChart werden der “chart name”, der “chart tool tip text”,
sowie die “href”, “shape” und “coords” Attribute einer “chart area”
nicht hinreichend von evtl. enthaltenem HTML- oder Skriptcode
gesäubert. Ein Angreifer kann diese Schwachstellen über das Netz dazu
ausnutzen, beliebigen Skriptcode im Browser fremder Benutzer auszuführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0745/
Das Hersteller Advisory:
https://blogs.oracle.com/sunsecurity/entry/multiple_cross_site_scripting_xss
Schwachstelle CVE-2007-6306:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6306
Schwachstelle CVE-2007-6307:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6307
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
