Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Red Hat Network Satellite 6.1
Red Hat Satellite Capsule 6.1
Foreman < 1.10.0 Betroffene Plattformen: Red Hat Enterprise Linux 6 Red Hat Enterprise Linux 7 Ein entfernter, einfach authentifizierter Angreifer mit der Berechtigung bestimmte Parameter, welche in Informations-Popups dargestellt werden, zu bearbeiten, kann einen Stored Cross-Site-Scripting (XSS)-Angriff ausführen. Red Hat stellt für die Produkte Red Hat Satellite 6.1 und Red Hat Satellite Capsule 6.1 auf den Plattformen RHEL 7 x86_64 und RHEL 6 x86_64 Sicherheitsupdates für das Satellite Release 6.1.7 zur Verfügung. Patch: Red Hat Security Advisory RHSA-2016:0174 https://access.redhat.com/errata/RHSA-2016:0174

CVE-2015-7518: Mehrere Schwachstellen in Foreman ermöglichen
Cross-Site-Scripting-Angriffe

Verschiedene Parameter, die von Foreman an mehreren Stellen zur Erstellung
von Informations-Popups verwendet werden, werden nicht ausreichend
bereinigt: 1) globale Parameter, 2) Smart Class Parameter, 3) Smart
Variablen in den Formularen a) des Hosts oder b) der Host-Gruppe. Dadurch
können beliebige Webskripte oder HTML in diese eingeschleust werden und
dieser Schadcode wird beim nächsten Aufruf (Rendern) des Popups ausgeführt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0278/

Schwachstelle CVE-2015-7518 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7518

Red Hat Security Advisory RHSA-2016:0174:
https://access.redhat.com/errata/RHSA-2016:0174

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.