Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

TinyMCE 3.5.8

Betroffene Plattformen:

Red Hat Fedora 20
Red Hat Fedora 21

Durch das Ausnutzen dieser Schwachstelle kann ein entfernter, nicht
authentifizierter Angreifer Cross-Site-Scripting (XSS)-Angriffe durchführen.
Für Fedora 20 und Fedora 21 wird die Schwachstelle durch Bereitstellung
aktualisierter Pakete von sagemath-6.1.1-6.fc20, bzw. sagemath-6.3-5.fc21
behoben.

Patch:

Fedora Security Update FEDORA-2014-16667

https://admin.fedoraproject.org/updates/FEDORA-2014-16667/sagemath-6.1.1-6.fc20

Patch:

Fedora Security Update FEDORA-2014-16756

https://admin.fedoraproject.org/updates/FEDORA-2014-16756/sagemath-6.3-5.fc21

CVE-2012-4230: Schwachstelle in TinyMCE erlaubt Cross-Site-Scripting

Eine Schwachstelle im “bbcode”-Plug-In in TinyMCE 3.5.8 besteht darin, dass
die TinyMCE-Sicherheitsrichtlinie (“security policy”) für (1) die
Kodierungsdirektive (“encoding directive”) und (2) das
“valid_elements”-Attribut nicht durchgesetzt wird. Ein entfernter, nicht
authentifizierter Angreifer kann die Schwachstelle ausnutzen, über
anwendungsspezifische Vektoren, um Cross-Site-Scripting (XSS)-Angriffe
durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1649/

Schwachstelle CVE-2012-4230 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4230

Fedora Security Update FEDORA-2014-16667:
https://admin.fedoraproject.org/updates/FEDORA-2014-16667/sagemath-6.1.1-6.fc20

Fedora Security Update FEDORA-2014-16756:
https://admin.fedoraproject.org/updates/FEDORA-2014-16756/sagemath-6.3-5.fc21

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.