UPDATE: DFN-CERT-2017-0888 Deluge: Zwei Schwachstellen ermöglichen eine Verzeichnistraversierung und einen Cross-Site-Request-Forgery-Angriff [Linux][Debian][SuSE]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (07.06.2017):
Für openSUSE 42.2 steht Deluge in der Version 1.3.15 als Sicherheitsupdate
zur Verfügung, um die Schwachstellen zu beheben.
Version 1 (19.05.2017):
Neues Advisory

Betroffene Software:

Deluge < 1.3.15 Betroffene Plattformen: Debian Linux 8.8 Jessie openSUSE Leap 42.2 Ein entfernter, nicht authentisierter Angreifer kann zwei Schwachstellen in Deluge ausnutzen, um durch einen Verzeichnistraversierungsangriff Programmcode aus nicht vertrauenswürdigen Quellen auszuführen oder einen Cross-Site-Request-Forgery (CSRF)-Angriff durchzuführen. Der Hersteller stellt Deluge 1.3.15 zur Behebung der Schwachstelle CVE-2017-9031 zur Verfügung. Die Schwachstelle CVE-2017-7178 wurde bereits mit Deluge 1.3.14 behoben. Debian stellt Backport-Sicherheitsupdates für die stabile Distribution Debian Jessie bereit. Patch: Deluge 1.3.15 Release Notes http://dev.deluge-torrent.org/wiki/ReleaseNotes/1.3.15

Patch:

Debian Security Advisory DSA-3856-1

https://www.debian.org/security/2017/dsa-3856

Patch:

openSUSE Security Update openSUSE-SU-2017:1497-1

http://lists.opensuse.org/opensuse-updates/2017-06/msg00014.html

CVE-2017-9031: Schwachstelle in Deluge ermöglicht
Verzeichnistraversierungsangriff

In der Weboberfläche von Deluge vor Version 1.3.15 besteht eine
Verzeichnistraversierungsschwachstelle im Kontext einer Anfrage, bei der der
angegebene Name der darzustellenden Datei (Render File) mit keiner
vorhandenen Template-Datei übereinstimmt. Ein entfernter, nicht
authentisierter Angreifer kann dadurch Programmcode aus nicht
vertrauenswürdigen Quellen ausführen.

CVE-2017-7178: Schwachstelle in Deluge ermöglicht
Cross-Site-Request-Forgery-Angriff

Im WebUI von Deluge 1.3.13 existiert eine Schwachstelle, denn die
Erkundungsmethodik involviert (1) das Hosting eines präparierten Plugins,
welches ein beliebiges Programm aus seiner ‘__init__.py’-Datei ausführt und
(2) führt sie dazu, dass das Plugin von einem Opfer heruntergeladen,
installiert und aktiviert wird, wodurch Cross-Site-Request-Forgery
(CSRF)-Angriffe möglich sind. Ein entfernter, nicht authentisierter
Angreifer kann eine Schwachstelle in Deluge ausnutzen, um einen
Cross-Site-Request-Forgery (CSRF)-Angriff durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0888/

Schwachstelle CVE-2017-7178 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7178

Deluge 1.3.15 Release Notes:
http://dev.deluge-torrent.org/wiki/ReleaseNotes/1.3.15

Schwachstelle CVE-2017-9031 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9031

Debian Security Advisory DSA-3856-1:
https://www.debian.org/security/2017/dsa-3856

openSUSE Security Update openSUSE-SU-2017:1497-1:
http://lists.opensuse.org/opensuse-updates/2017-06/msg00014.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.