2016-0085: cgit: Mehrere Schwachstellen ermöglichen einen Denial-of-Service-Angriff und Cross-Site-Scripting
Historie:
- Version 1 (2016-01-18 14:51)
- Neues Advisory
- Version 2 (2016-01-22 15:18)
- openSUSE veröffentlicht Sicherheitsupdates für die Distributionen openSUSE Leap 42.1 und openSUSE 13.2.
- Version 3 (2016-01-25 11:53)
- Für die Distribution openSUSE 13.1 sind Sicherheitsupdates verfügbar.
- Version 4 (2016-04-08 12:31)
- Debian veröffentlicht für die Linux-Distributionen Jessie (stable) und Stretch (testing) Sicherheitsupdates.
Betroffene Software
Entwicklung
Betroffene Plattformen
Linux
Beschreibung:
Es existiert eine Schwachstelle in cgit bei der Behandlung von Umgebungsvariablen, die ein entfernter, nicht authentifizierter Angreifer für einen Denial-of-Service-Angriff nutzen kann. Zwei weitere Schwachstellen ermöglichen einem entfernten, nicht authentifizierten Angreifer einen Cross-Site-Scripting-Angriff. Ein Update auf cgit Version 0.12 behebt diese Schwachstellen.
Fedora stellt für die Distributionen Fedora 22 und 23 sowie Fedora EPEL 6 und 7 Sicherheitsupdates in Form der Pakete cgit-0.12-1.fc22, cgit-0.12-1.fc23, cgit-0.12-1.el6 und cgit-0.12-1.el7 bereit.
Schwachstellen:
CVE-2016-1899
Schwachstelle in cgit ermöglicht Cross-Site-Scripting-AngriffCVE-2016-1900
Schwachstelle in cgit ermöglicht Cross-Site-Scripting-AngriffCVE-2016-1901
Schwachstelle in cgit ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.