UPDATE: DFN-CERT-2015-1377 IPython: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff [Linux][Fedora]

UPDATE: DFN-CERT-2015-1377 IPython: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (21.09.2015):
Für Fedore 23 wird das neuere Paket ipython-3.2.1-3.fc23 zur Verfügung
gestellt, um die Schwachstelle mit der FEDORA Bug ID 1264067 zu beheben.
Version 1 (08.09.2015):
Neues Advisory

Betroffene Software:

IPython < 3.2.2 IPython < 4.0.5 IPython < 4.1 Betroffene Plattformen: Red Hat Fedora 21 Red Hat Fedora 22 Red Hat Fedora 23 Ein entfernter, einfach authentifizierter Angreifer kann die Schwachstelle in IPython Notebook ausnutzen, um einen Cross-Site-Scripting-Angriff durchzuführen und beliebigen Programmcode zur Ausführung zu bringen. Für Fedora 21, 22 und 23 werden Sicherheitsupdates in Form der Pakete ipython-2.4.1-8.fc21, ipython-2.4.1-8.fc22 und ipython-3.2.1-2.fc23 im Status 'testing' zur Verfügung gestellt. Update: Für Fedore 23 wird das neuere Paket ipython-3.2.1-3.fc23 zur Verfügung gestellt, um die Schwachstelle mit der FEDORA Bug ID 1264067 zu beheben. Patch: Fedora Security Update FEDORA-2015-14900 https://bodhi.fedoraproject.org/updates/FEDORA-2015-14900

Patch:

Fedora Security Update FEDORA-2015-14901

https://bodhi.fedoraproject.org/updates/FEDORA-2015-14901

Patch:

Fedora Security Update FEDORA-2015-14902

https://bodhi.fedoraproject.org/updates/FEDORA-2015-14902

Patch:

Fedora Security Update FEDORA-2015-16128

https://bodhi.fedoraproject.org/updates/FEDORA-2015-16128

FEDORA Bug ID 1264067: Schwachstelle in IPython Notebook ermöglicht
Ausführen beliebigen Programmcodes

Es besteht eine Schwachstelle in IPython Notebook, die durch die falsche
Erkennung von Dateitypen hervorgerufen wird. Eine speziell präparierte
Datei, die zum Editieren geöffnet wird, kann fälschlicherweise zur
Ausführung von Javascript führen. Betroffen ist die URI “GET /edit/*”. Ein
entfernter, einfach authentifizierter Angreifer kann die Schwachstelle
ausnutzen, um mit sorgfältig präparierten Dateien beliebiges Javascript zur
Ausführung zu bringen.

CVE-2015-6938: Schwachstelle in IPython Notebook ermöglicht
Cross-Site-Scripting-Angriff

Es besteht eine Schwachstelle in IPython Notebook, die durch die Verwendung
von lokalen Ordnernamen in HTML-Templates ohne abschließende Escape-Sequenz
hervorgerufen wird. Betroffen ist die URI “GET /tree/*”. Ein entfernter,
einfach authentifizierter Angreifer kann die Schwachstelle ausnutzen, um mit
sorgfältig präparierten Ordnernamen und URLs einen
Cross-Site-Scripting-Angriff durchzuführen und dadurch beliebigen
Programmcode zur Ausführung bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1377/

Fedora Security Update FEDORA-2015-14900:
https://bodhi.fedoraproject.org/updates/FEDORA-2015-14900

Fedora Security Update FEDORA-2015-14901:
https://bodhi.fedoraproject.org/updates/FEDORA-2015-14901

Fedora Security Update FEDORA-2015-14902 :
https://bodhi.fedoraproject.org/updates/FEDORA-2015-14902

CVE Request : CSRF in IPython/Jupyter notebook Tree:
http://seclists.org/oss-sec/2015/q3/474

Fedora Security Update FEDORA-2015-16128 :
https://bodhi.fedoraproject.org/updates/FEDORA-2015-16128

CVE Request: Maliciously crafted text files in IPython/Jupyter editor :
http://seclists.org/oss-sec/2015/q3/558

Schwachstelle CVE-2015-6938 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6938

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben