DFN-CERT-2014-0138 Tripwire Enterprise: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Unix]

DFN-CERT-2014-0138 Tripwire Enterprise: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Unix]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Tripwire Enterprise <= 8.2 Betroffene Plattformen: Tripwire Enterprise Diese Schwachstelle kann von einem entfernten, nicht angemeldeten Angreifer für einen Cross-Site-Scripting (XSS)-Angriff ausgenutzt werden und erlaubt beliebige, selbst gebaute Webskripte oder HTML zu injizieren und somit ausführen zu lassen. Patch: Tripwire Enterprise 8.3 Datasheet http://www.tripwire.com/register/whats-new-in-tripwire-enterprise-83/

Schwachstelle in ajaxRequest/methodCall

Für Tripwire Enterprise 8.2 und frühere Versionen besteht eine multiple
Cross-Site-Scripting (XSS)-Schwachstelle im Modul ajaxRequest/methodCall.do.
Diese Schwachstelle ermöglicht es einem entfernten, nicht angemeldeten
Angreifer beliebige Webskripte oder HTML zu injizieren über folgende
Parameter: 1) m_target_class_name, 2) m_target_method_name oder 3)
m_request_context_params.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0138/

Schwachstelle CVE-2013-5005 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5005

Tripwire Enterprise 8.3 Datasheet:
http://www.tripwire.com/register/whats-new-in-tripwire-enterprise-83/

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben