DFN-CERT-2015-0550 Microsoft Project Server, Microsoft Sharepoint Foundation, Microsoft Sharepoint Server: Zwei Schwachstelle ermöglichen Cross-Site-Scripting-Angriffe [Windows]

DFN-CERT-2015-0550 Microsoft Project Server, Microsoft Sharepoint Foundation, Microsoft Sharepoint Server: Zwei Schwachstelle ermöglichen Cross-Site-Scripting-Angriffe [Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Microsoft Project Server 2010 Sp2
Microsoft Project Server 2013 Sp1
Microsoft Sharepoint Foundation 2013 SP1
Microsoft Sharepoint Server 2013 SP1

Betroffene Plattformen:

Microsoft Project Server 2010
Microsoft Project Server 2013
Microsoft Sharepoint Foundation 2013
Microsoft Sharepoint Server 2013

Durch Ausnutzen der Schwachstellen kann ein angemeldeter Benutzer im
Internet, als Angreifer, Cross-Site-Scripting (XSS)-Angriffe gegen andere
Benutzer durchführen, dadurch seine Rechte erweitern und beliebige Befehle
mit den Rechten des Benutzers ausführen. Microsoft behebt die Schwachstellen
durch Bereitstellung von Sicherheitsupdates.

Patch:

Microsoft Sicherheitsinformation MS15-036 (SharePoint Server)

https://technet.microsoft.com/de-de/library/security/MS15-036

CVE-2015-1653: Schwachstelle in Microsoft Sharepoint Server erlaubt
Cross-Site-Scripting

Eine Schwachstelle in Microsoft SharePoint Foundation 2013 SP1 und
SharePoint Server 2013 SP1 besteht in einer unzureichenden Bereinigung von
Anfragen. Ein entfernter, authentifizierter Benutzer, als Angreifer, kann
diese Schwachstelle ausnutzen, mittels eines präparierten Requests, um
beliebige Webskripte oder HTML einzuschleusen und dadurch seine
Berechtigungen auf die des aktuellen Benutzers auszuweiten.

CVE-2015-1640: Schwachstelle in Microsoft Project Server erlaubt
Cross-Site-Scripting

Eine Schwachstelle in Microsoft Project Server 2010 SP2 und 2013 SP1 besteht
in einer unzureichenden Bereinigung von Anfragen. Ein entfernter,
authentifizierter Benutzer, als Angreifer, kann diese Schwachstelle
ausnutzen, mittels eines präparierten Requests, um beliebige Webskripte oder
HTML einzuschleusen und dadurch seine Berechtigungen auf die des aktuellen
Benutzers auszuweiten.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0550/

Microsoft Sicherheitsinformation MS15-036 (SharePoint Server):
https://technet.microsoft.com/de-de/library/security/MS15-036

Schwachstelle CVE-2015-1640 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1640

Schwachstelle CVE-2015-1653 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1653

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben