DFN-CERT-2016-0985 MHonArc: Zwei Schwachstellen ermöglichen Denial-of-Service- und Cross-Site-Scripting-Angriffe [Linux][Fedora]

DFN-CERT-2016-0985 MHonArc: Zwei Schwachstellen ermöglichen Denial-of-Service- und Cross-Site-Scripting-Angriffe [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

MHonArc <= 2.6.16 Betroffene Plattformen: Extra Packages for Red Hat Enterprise Linux 6 Zwei Schwachstellen in MHonArc vor Version 2.6.18 ermöglichen einem entfernten, nicht authentifizierten Angreifer die Durchführung von Denial-of-Service- und Cross-Site-Scripting-Angriffen. Für Fedora EPEL 6 steht in Form des Pakets mhonarc-2.6.19-5.el6 ein Sicherheitsupdate auf die Version 2.6.19 im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-EPEL-2016-f87bf0c040 (Fedora EPEL 6) https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-f87bf0c040

CVE-2010-1677: Schwachstelle in MHonArc ermöglicht Denial-of-Service-Angriff

MHonArc vor Version 2.6.18 enthält eine Schwachstelle in lib/mhtxthtml.pl,
da geschachtelte HTML-Tags nicht korrekt erkannt werden. Dies führt dazu,
dass bei der Verarbeitung speziell geschachtelter HTML-Daten eine Überlast
der CPU durch einen entfernten, nicht authentifizierten Angreifer
herbeigeführt werden kann (Denial of Service-Angriff).

CVE-2010-4524: Schwachstelle in MHonArc ermöglicht
Cross-Site-Scripting-Angriff

In MHonArc vor Version 2.6.18 in lib/mhtxthtml.pl werden bei falsch
formatierten Start- und End-Tags für das Skript-Element die Benutzereingaben
nicht ausreichend überprüft, wodurch Cross-Site-Scripting (XSS) ermöglicht
wird. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle zum Ausführen von Skript-Code im Kontext der jeweiligen
Webseite ausnutzen, indem er einen Benutzer dazu bringt, eine entsprechend
präparierte URL zu öffnen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0985/

Fedora Security Update FEDORA-EPEL-2016-f87bf0c040 (Fedora EPEL 6):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-f87bf0c040

Schwachstelle CVE-2010-1677 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-1677

Schwachstelle CVE-2010-4524 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-4524

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben