DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-1066: Spacewalk: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff

Historie

Version 1 (2017-06-21 12:20)
Neues Advisory
Version 2 (2017-11-10 10:19)
Mittlerweile wirde bekannt, dass sich die Schwachstelle in der Komponente Spacewalk von Red Hat Satellite befindet. Für SUSE Manager Server 3.0 steht ein Sicherheitsupdate zur Behebung der Schwachstelle bereit.

Betroffene Software

Red Hat Satellite < 5.8.0
Red Hat Satellite < 5.8.0 ELS
Spacewalk

Betroffene Plattformen

SUSE Manager Server 3.0
Red Hat Enterprise Linux 6

Lösung

Patch

Red Hat Security Advisory RHSA-2017:1558

Patch

SUSE Security Update SUSE-SU-2017:2964-1

Beschreibung

Eine Schwachstelle bei der Verarbeitung von Fehlereinträgen für fehlgeschlagene Aktionen in Red Hat Satellite ermöglicht einem einfach authentisierten Angreifer im benachbarten Netzwerk, wenn er über die Rechte verfügt Fehlereinträge zu erstellen, Cross-Site-Scripting (XSS)-Angriffe gegen andere Benutzer des Systems durchzuführen.

Red Hat veröffentlicht zur Behebung der Schwachstelle Red Hat Satellite, Red Hat Satellite ELS, Red Hat Satellite ManagedDB und Red Hat Satellite ManagedDB ELS in der Version 5.8.0 als Sicherheitsupdates.

Schwachstellen

CVE-2017-7514: Schwachstelle in Spacewalk ermöglicht Cross-Site-Scripting-Angriff

In Spacewalk existiert eine Cross-Site-Scripting (XSS)-Schwachstelle aufgrund der Art und Weise wie Einträge für fehlerhafte Aktionen auf der Seite Schedule -> Failed Actions -> <action> -> Failed Systems verarbeitet werden. Ein Benutzer, der über die Möglichkeit verfügt, Fehlereinträge zu erstellen, kann, in der Rolle als Angreifer, Cross-Site-Scripting-Angriffe gegen andere Benutzer der Software durchführen.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.