2016-0729: Ikiwiki: Zwei Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2016-05-09 20:21)

Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, einfach authentifizierter Angreifer kann beliebigen HTML-Programmcode in eine Fehlermeldung einschleusen, indem er in einem Modul beim Zugriff auf eine Datei mit speziell präpariertem Dateinamen einen Ausnahmefehler auslöst.

Der Hersteller stellt die Programmversion 3.20160506 als Sicherheitsupdate bereit. Die Programmversionen 3.20141016.3 und 3.20160506 beinhalten jetzt zusätzlich ein Sicherheitsupdate für das img-Plugin, das ImageMagick verwendet. Dadurch werden Schwachstellen wie CVE-2016-3714 und vergleichbare zukünftige Schwachstellen adressiert. Debian stellt für die Distribution Debian Jessie ein Backport-Sicherheitsupdate auf Version 3.20141016.3 bereit.

Schwachstellen:

CVE-2016-3714

Schwachstelle in ImageMagick ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-4561

Schwachstelle in Ikiwiki ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.