DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-1228: phpLDAPadmin: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff

Historie

Version 1 (2017-07-17 10:58)
Neues Advisory

Betroffene Software

phpLDAPadmin <= 1.2.3

Betroffene Plattformen

Red Hat Fedora 24
Red Hat Fedora 25
Red Hat Fedora 26
Extra Packages for Red Hat Enterprise Linux 6
Extra Packages for Red Hat Enterprise Linux 7

Lösung

Patch

Fedora Security Update FEDORA-2017-05888dd4fe (Fedora 26, phpldapadmin-1.2.3-10.f26)

Patch

Fedora Security Update FEDORA-2017-1a8bebaab4 (Fedora 24, phpldapadmin-1.2.3-10.f24)

Patch

Fedora Security Update FEDORA-2017-346836a623 (Fedora 25, phpldapadmin-1.2.3-10.f25)

Patch

Fedora Security Update FEDORA-EPEL-2017-491dd51db6 (Fedora EPEL 7, phpldapadmin-1.2.3-10.el7)

Patch

Fedora Security Update FEDORA-EPEL-2017-f7d737f93d (Fedora EPEL 6, phpldapadmin-1.2.3-10.el6)

Beschreibung

Eine Schwachstelle bei der Validierung von Benutzereingaben in phpLDAPadmin ermöglicht einem entfernten, nicht authentisierten Angreifer die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs.

Für Fedora 24, 25 und 26 sowie für Fedora EPEL 6 und 7 stehen die Pakete 'phpldapadmin-1.2.3-10.fc24', 'phpldapadmin-1.2.3-10.fc25', 'phpldapadmin-1.2.3-10.fc26, 'phpldapadmin-1.2.3-10.el6' und 'phpldapadmin-1.2.3-10.el7' als Backport-Sicherheitsupdates im Status 'testing' bereit.

Schwachstellen

CVE-2017-11107: Schwachstelle in phpLDAPadmin ermöglicht Cross-Site-Scripting-Angriff

In phpLDAPadmin existiert eine nicht näher beschriebene Schwachstelle aufgrund unzureichender Validierung von Eingaben in 'htdocs/entry_chooser.php', die ein Angreifer über präparierte 'form'-, 'element'-, 'rdn'- oder 'container'-Parameter ausnutzen kann, um einen Cross-Site-Scripting (XSS)-Angriff durchzuführen.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.