DFN-CERT-2017-1896 Werkzeug: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff [Linux]

DFN-CERT-2017-1896 Werkzeug: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Werkzeug < 0.11.11 Betroffene Plattformen: Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Ein entfernter, nicht authentisierter Angreifer kann einen Cross-Site-Scripting-Angriff in Werkzeug durchführen, indem er Benutzer des Debuggers der Software dazu verleitet, einen bestimmten Ausnahmefehler auszulösen. Der Angriff kann beispielsweise über eine speziell präparierte Datei erfolgen. Canonical stellt Backport-Sicherheitsupdates für Ubuntu Linux 14.04 LTS und 16.04 LTS zur Verfügung. Die Schwachstelle wurde vom Hersteller mit Version 0.11.11 der Software behoben. Patch: Ubuntu Security Notice USN-3463-1 http://www.ubuntu.com/usn/usn-3463-1/

CVE-2016-10516: Schwachstelle in Werkzeug ermöglicht
Cross-Site-Scripting-Angriff

In ein Datenfeld, in dem mit der Funktion ‘render_full’ innerhalb von
‘debug/tbtools.py’ eine Debug-Nachricht für einen Ausnahmefehler dargestellt
wird, lässt sich beliebiger Skript- oder HTML-Programmcode injizieren.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1896/

Schwachstelle CVE-2016-10516 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-10516

Ubuntu Security Notice USN-3463-1:
http://www.ubuntu.com/usn/usn-3463-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben