DFN-CERT-2016-1198 Red Hat Satellite, Spacewalk-Java: Mehrere Schwachstellen ermöglichen verschiedene Cross-Site-Scripting-Angriffe [Linux][RedHat]

DFN-CERT portal at dfn-cert.de
Tue Jul 26 14:45:02 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  Red Hat Network Satellite Red Hat Satellite 5.7 for RHEL 6
  Spacewalk-Java
  

Betroffene Plattformen:

  Red Hat Enterprise Linux 6
  


Es existieren mehrere Schwachstellen in Red Hat Satellite und
Spacewalk-Java, die einem entfernten, nicht authentifizierten Angreifer die
Durchführung von Cross-Site-Scripting-Angriffen ermöglichen.

Red Hat stellt ein Sicherheitsupdate für Red Hat Satellite 5.7 und
Spacewalk-Java für Red Hat Enterprise Linux 6 bereit, um die Schwachstellen
zu beheben.


Patch:

  Red Hat Security Advisory RHSA-2016:1484

  <http://rhn.redhat.com/errata/RHSA-2016-1484.html>


CVE-2016-3080: Schwachstelle in Spacewalk-Java ermöglicht
  Cross-Site-Scripting-Angriffe

  In Spacewalk-Java existiert eine Schwachstelle in der Darstellung von
  Monitoring-Sensoren (Probes). HTML und Javascript können in die Werte für
  Red Hat Network Monitoring Daemon (RHNMD)-Benutzer oder für
  Dateisystemparameter in Satellite eingebettet werden, wodurch schädliche
  Inhalte in die Webseite eingeschleust werden können, welche dann zusammen
  mit den Probedaten angezeigt werden. Ein entfernter, nicht authentifizierter
  Angreifer kann somit Cross-Site-Scripting (XSS)-Angriffe gegen andere
  Benutzer durchführen.


CVE-2016-3097: Schwachstellen in Spacewalk-Java ermöglichen
  Cross-Site-Scripting-Angriffe

  In Spacewalk-Java existieren mehrere Schwachstellen in Formularen des
  'Entitlement'-Management und bei der Erstellung von Elementen im System Set
  Manager (SSM), bzw. bezüglich der Darstellung von Gruppennamen (Group
  Names), die einem entfernten, nicht authentifizierten Angreifer die
  Durchführung von Cross-Site-Scripting (XSS)-Angriffen gegen andere Benutzer
  ermöglichen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1198/>

Schwachstelle CVE-2016-3080 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3080>

Schwachstelle CVE-2016-3097 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3097>

Red Hat Security Advisory RHSA-2016:1484:
  <http://rhn.redhat.com/errata/RHSA-2016-1484.html>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160726/09c982ea/attachment.bin>


More information about the Security-Announce mailing list