DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-2301: Mistune: Zwei Schwachstellen ermöglichen Cross-Site-Scripting-Angriffe

Historie

Version 1 (2017-12-20 10:32)
Neues Advisory
Version 2 (2018-02-09 10:05)
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate auf die Version 0.8.3 zur Behebung der Schwachstellen zur Verfügung.

Betroffene Software

Mistune

Betroffene Plattformen

openSUSE Leap 42.3
Red Hat Fedora 26
Red Hat Fedora 27
Extra Packages for Red Hat Enterprise Linux 7

Lösung

Patch

Fedora Security Update FEDORA-2017-2eefd424bd (Fedora 27, python-mistune-0.8.3-1.fc27)

Patch

Fedora Security Update FEDORA-2017-7b4149911a (Fedora 26, python-mistune-0.8.3-1.fc26)

Patch

Fedora Security Update FEDORA-EPEL-2017-263dafc1ae (Fedora EPEL 7, python-mistune-0.8.3-1.el7)

Patch

openSUSE Security Update openSUSE-SU-2018:0402-1

Beschreibung

Zwei Schwachstellen in Mistune ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung von Cross-Site-Scripting-Angriffen.

Der Hersteller hat die Schwachstellen in den Versionen 0.8 bzw. 0.8.1 der Software behoben.

Für Fedora 26 und 27 sowie für Fedora EPEL 7 stehen Sicherheitsupdates auf die aktuelle Version 0.8.3 von Mistune im Status 'testing' zur Verfügung.

Schwachstellen

CVE-2017-16876: Schwachstelle in Mistune ermöglicht Cross-Site-Scripting-Angriff

Aufgrund der fehlerhaften Implementierung der Funktion '_keyify' und der Klasse 'InlineGrammar' kann ein entfernter, nicht authentisierter Angreifer einen nicht näher spezifizierten Cross-Site-Scripting-Angriff durchführen.

CVE-2017-15612: Schwachstelle in Mistune ermöglicht Cross-Site-Scripting-Angriff

Über einen eingebetteten Zeilenumbruch oder eine speziell präparierte Email-Adresse als Eingabeparameter kann ein entfernter, nicht authentisierter Angreifer einen Cross-Site-Scripting-Angriff auf Benutzer von Mistune 0.7.4 ausführen. Die Schwachstelle tritt im Kontext der Funktionen 'escape' und 'autolink' auf.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.