DFN-CERT-2016-0550 Red Hat Satellite, Spacewalk-Java: Mehrere Schwachstellen ermöglichen verschiedene Cross-Site-Scripting-Angriffe [Linux][RedHat]

DFN-CERT-2016-0550 Red Hat Satellite, Spacewalk-Java: Mehrere Schwachstellen ermöglichen verschiedene Cross-Site-Scripting-Angriffe [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Red Hat Network Satellite Red Hat Satellite 5.7 for RHEL 6
Spacewalk-Java

Betroffene Plattformen:

Red Hat Enterprise Linux 6

Es existieren mehrere Schwachstellen in Red Hat Satellite und
Spacewalk-Java, die einem entfernten, auch nicht authentifizierten Angreifer
die Durchführung von Cross-Site-Scripting-Angriffen ermöglichen.

Red Hat stellt ein Sicherheitsupdate für Red Hat Satellite 5.7 und
Spacewalk-Java für Red Hat Enterprise Linux 6 bereit, um die Schwachstellen
zu beheben. Red Hat weist darauf hin, dass die Schwachstelle CVE-2015-0284
den unvollständigen Fix von Schwachstelle CVE-2014-7811 vervollständigt.

Patch:

Red Hat Security Advisory RHSA-2016:0590-1

http://rhn.redhat.com/errata/RHSA-2016-0590.html

RED-HAT-BUG-ID-1181152: Schwachstelle in Red Hat Satellite ermöglicht
Cross-Site-Scripting-Angriff

Durch eine Schwachstelle in Red Hat Satellite ist es möglich, beliebigen
HTML-Code in Datenfelder für Benutzerdetails einzugeben, der beim Aufruf
einer Seite, die die Benutzerdetails wiedergibt, ausgeführt wird. Ein
entfernter, einfach authentifizierter Angreifer kann einen
Cross-Site-Scripting-Angriff (XSS-Angriff) ausführen.

CVE-2016-3079: Schwachstellen in Spacewalk-Java ermöglichen
Cross-Site-Scripting-Angriffe

In Spacewalk-Java existieren mehrere Schwachstellen in Formularen des
‘Entitlement’-Management und bei der Erstellung von Elementen im System Set
Manager (SSM), die einem entfernten, nicht authentifizierten Angreifer die
Durchführung von Cross-Site-Scripting-Angriffen (XSS) gegen andere Benutzer
von Red Hat Satellite ermöglichen.

CVE-2016-2104: Schwachstellen in Red Hat Satellite ermöglichen
Cross-Site-Scripting-Angriffe

Durch die fehlerhafte Verarbeitung von HTTP-GET-Anfragen in Red Hat
Satellite kann ein entfernter, nicht authentifizierter Angreifer
Cross-Site-Scripting-Angriffe (XSS-Angriffe) gegen einen Benutzer von Red
Hat Satellite ausführen, indem er diesen dazu verleitet, einen speziell
präparierten Link zu besuchen.

CVE-2016-2103: Schwachstellen in Red Hat Satellite ermöglichen
Cross-Site-Scripting-Angriffe

Durch die fehlerhafte Verarbeitung von Formulardaten in Red Hat Satellite
kann ein entfernter, nicht authentifizierter Angreifer
Cross-Site-Scripting-Angriffe (XSS-Angriffe) gegen andere Benutzer von Red
Hat Satellite ausführen.

CVE-2015-0284: Schwachstelle in Red Hat Satellite ermöglicht
Cross-Site-Scripting-Angriff

Es existiert eine Schwachstelle im Red Hat Satellite Server durch die
fehlerhafte Prüfung von Eingangsdaten. Ein entfernter, einfach
authentifizierter Angreifer kann mit Hilfe der XMLRPC-API speziell
präparierte XML-Daten an den Server senden, um einen
Cross-Site-Scripting-Angriff (XSS-Angriff) auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0550/

Schwachstelle CVE-2016-2104 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2104

Schwachstelle CVE-2016-2103 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2103

Schwachstelle CVE-2016-3079 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3079

Red Hat Security Advisory RHSA-2016:0590-1:
http://rhn.redhat.com/errata/RHSA-2016-0590.html

Schwachstelle CVE-2015-0284 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0284

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben