Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

SPIP < 3.1.6 Betroffene Plattformen: Debian Linux 9.0 Stretch Debian Linux 10.0 Buster Ein entfernter, einfach authentisierter Angreifer kann eine Schwachstelle in SPIP zur Ausführung beliebigen Programmcodes ausnutzen. Der Hersteller stellt SPIP 3.1.6 als Sicherheitsupdate zur Verfügung. Für die Distributionen Debian Stretch (stable) und Debian Buster (testing) stehen Backport-Sicherheitsupdates zur Behebung der Schwachstelle bereit. Patch: Debian Security Advisory DSA-3890-1 https://www.debian.org/security/2017/dsa-3890

Patch:

SPIP 3.1.6 und Beta 3 Release Notes

https://blog.spip.net/Mise-a-jour-CRITIQUE-de-securite-Sortie-de-SPIP-3-1-6-et-SPIP-3-2-Beta-3.html?lang=fr

CVE-2017-9736: Schwachstelle in SPIP ermöglicht Ausführung beliebigen
Programmcodes

In SPIP vor Version 3.1.6 bzw Beta 3 (Versionszweig 3.2) existiert eine
Schwachstelle, weil Shell-Metazeichen nicht aus dem Feld ‘X-Forwarded-Host’
in HTTP-Kopfdaten entfernt werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1075/

Schwachstelle CVE-2017-9736 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9736

Debian Security Advisory DSA-3890-1:
https://www.debian.org/security/2017/dsa-3890

SPIP 3.1.6 und Beta 3 Release Notes:
https://blog.spip.net/Mise-a-jour-CRITIQUE-de-securite-Sortie-de-SPIP-3-1-6-et-SPIP-3-2-Beta-3.html?lang=fr

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.