Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket gallery3
Paket gallery2

Betroffene Plattformen:

Fedora 16
Fedora 15

In Gallery sind u.a. mehrere Cross-Site Scripting Schwachstellen enthalten,
welche es einem entfernten Angreifer ermöglichen, nicht näher beschriebene
Angriffe durchzuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2012-1113: Mehrere Cross-site Scripting Schwachstellen in Gallery

In Gallery vor 2.3.2 und 3.0.3 sind drei Cross-Site Scripting Schwachstellen
enthalten. Diese beschränken sich auf den Admininstrations-Bereich.
Zusätzlich sind nicht näher beschriebene Schwachstellen bezüglich der
Verschlüsselung vorhanden. Ein entfernter Angreifer kann die Cross-Site
Scripting Schwachstellen ausnutzen, um mittels präparierter URLs beliebige
HTML- und Skriptbefehle im Browser eines Administrators zur Ausführung zu
bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0768/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2012-April/078873.html
http://lists.fedoraproject.org/pipermail/package-announce/2012-April/078925.html
http://lists.fedoraproject.org/pipermail/package-announce/2012-April/078816.html
http://lists.fedoraproject.org/pipermail/package-announce/2012-April/078851.html

Schwachstelle CVE-2012-1113:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1113

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.