Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 4 (11.08.2016):
Für Red Hat Enterprise Linux OpenStack Platform 7.0 (Kilo) for RHEL 7, Red
Hat OpenStack Platform 8.0 (Liberty) und Red Hat OpenStack Platform 8.0
Operational Tools for RHEL 7 stehen Sicherheitsupdates zur Behebung dieser
Schwachstelle bereit.
Version 3 (22.07.2016):
Für Fedora 23 und 24 stehen Sicherheitsupdates in Form der Pakete
python-django-1.8.14-1.fc23 im Status ‘pending’ und
python-django-1.9.8-1.fc24 im Status ‘testing’ bereit.
Version 2 (20.07.2016):
Canonical stellt für Ubuntu 16.04 LTS ein Backport-Sicherheitsupdate
bereit.
Version 1 (19.07.2016):
Neues Advisory
Betroffene Software:
Django < 1.8.14 Django < 1.9.8 Betroffene Plattformen: Red Hat Enterprise Linux OpenStack 7.0 (Kilo) Red Hat Enterprise Linux OpenStack 8.0 (Liberty) Red Hat Enterprise Linux OpenStack 8.0 Operational Tools Canonical Ubuntu Linux 16.04 LTS Debian Linux 8.5 Jessie Red Hat Enterprise Linux 7 Red Hat Fedora 23 Red Hat Fedora 24 Ein entfernter, nicht authentifizierter Angreifer kann einen Cross-Site-Scripting-Angriff (XSS) durchführen. Der Hersteller stellt die Programmversionen 1.8.14 und 1.9.8 bereit, um die Schwachstelle zu beheben. Für die Distribution Debian Jessie (stable) steht ein Backport-Sicherheitsupdate bereit. Patch: Debian Security Advisory DSA-3622-1 https://www.debian.org/security/2016/dsa-3622
Patch:
Release Notes Django 1.8.14, 1.9.8, 1.10 release candidate 1
https://www.djangoproject.com/weblog/2016/jul/18/security-releases/
Patch:
Ubuntu Security Notice USN-3039-1
http://www.ubuntu.com/usn/usn-3039-1/
Patch:
Fedora Security Update FEDORA-2016-b7e31a0b9a (Fedora 24,
python-django-1.9.8-1.fc24)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-b7e31a0b9a
Patch:
Fedora Security Update FEDORA-2016-97ca9d52a4 (Fedora 23,
python-django-1.8.14-1.fc23)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-97ca9d52a4
Patch:
Red Hat Security Advisory RHSA-2016:1594
http://rhn.redhat.com/errata/RHSA-2016-1594.html
Patch:
Red Hat Security Advisory RHSA-2016:1595
http://rhn.redhat.com/errata/RHSA-2016-1595.html
Patch:
Red Hat Security Advisory RHSA-2016:1596
http://rhn.redhat.com/errata/RHSA-2016-1596.html
CVE-2016-6186: Schwachstelle in Django ermöglicht
Cross-Site-Scripting-Angriff
Das JavaScript-Element ‘Element.innerHTML’ wird in einer Einblendung
(‘Pop-up’), das im Kontext der Aktionen ‘hinzufügen’ und ‘ändern’
(add/change) des Administrators auftaucht, unsicher verwendet.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1154/
Debian Security Advisory DSA-3622-1:
https://www.debian.org/security/2016/dsa-3622
Release Notes Django 1.8.14, 1.9.8, 1.10 release candidate 1:
https://www.djangoproject.com/weblog/2016/jul/18/security-releases/
Schwachstelle CVE-2016-6186 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6186
Ubuntu Security Notice USN-3039-1:
http://www.ubuntu.com/usn/usn-3039-1/
Fedora Security Update FEDORA-2016-b7e31a0b9a (Fedora 24,
python-django-1.9.8-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-b7e31a0b9a
Fedora Security Update FEDORA-2016-97ca9d52a4 (Fedora 23,
python-django-1.8.14-1.fc23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-97ca9d52a4
Red Hat Security Advisory RHSA-2016:1594:
http://rhn.redhat.com/errata/RHSA-2016-1594.html
Red Hat Security Advisory RHSA-2016:1595:
http://rhn.redhat.com/errata/RHSA-2016-1595.html
Red Hat Security Advisory RHSA-2016:1596:
http://rhn.redhat.com/errata/RHSA-2016-1596.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
