DFN-CERT-2012-1610 Mehrere Schwachstellen in Python-Modul Djblets [Linux][Fedora]

DFN-CERT-2012-1610 Mehrere Schwachstellen in Python-Modul Djblets [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket python-djblets

Betroffene Plattformen:

Fedora 16
Fedora 17

Mehrere Schwachstellen im Python-Modul feedparser erlauben es einem
entfernten Angreifer, Cross-site Scripting Angriffe oder Denial of Service
Attacken gegen das System durchzuführen.

Vorherige Versionen des Pakets python-djblets enthielten eine eigene Kopie
von python-feedparser, wodurch das Paket für die beschriebenen
Schwachstellen anfällig ist.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2009-5065, CVE-2011-1156, CVE-2011-1157, CVE-2011-1158: Mehrere
Schwachstellen in Feedparser

Das Python-Modul Feedparser enthält mehrere Schwachstellen die für
Cross-site Scripting Angriffe genutzt werden können. Auslöser hierfür sind
Fehler bei der Verarbeitung von CDATA-Feldern (CVE-2009-5065),
XML-Kommentaren (CVE-2011-1157) oder bestimmter URI-Schemas (CVE-2011-1158).
Eine weitere Schwachstelle bei der Verarbeitung von fehlerhaften
DOCTYPE-Deklarationen (CVE-2011-1156) erlaubt die Durchführung von Denial of
Service Angriffen auf betroffene Systeme. Ein entfernter Angreifer kann
diese Schwachstellen über speziell präparierte RSS, Atom oder CDF-Feeds
ausnutzen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1610/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2012-August/085171.html
http://lists.fedoraproject.org/pipermail/package-announce/2012-August/085172.html

Schwachstelle CVE-2009-5065:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-5065

Schwachstelle CVE-2011-1156:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1156

Schwachstelle CVE-2011-1157:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1157

Schwachstelle CVE-2011-1158:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1158

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben