2016-1014: squidGuard: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2016-06-22 16:54)

Neues Advisory

Version 2 (2016-10-12 18:37)

SUSE veröffentlicht für die Produkte SUSE Linux Enterprise Server 12 SP1 und 11 SP4 sowie Debuginfo 11 SP4 Sicherheitsupdates für squidGuard, um die Schwachstelle zu adressieren.

Version 3 (2016-10-21 15:32)

Für die Distribution openSUSE Leap 42.1 steht ein Sicherheitsupdate für squidGuard zur Verfügung.

Version 4 (2017-05-26 12:25)

Für SUSE Linux Enterprise Server 12 SP2 und Server for Raspberry Pi 12 SP2 stehen Sicherheitsupdates für squidGuard bereit.

Betroffene Software

Server
Sicherheit

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell präparierten Webseite, die von Squid blockiert wird, einen reflektierten Cross-Site-Scripting-Angriff (XSS) auf Benutzer von Squid, die diese Seite besuchen, ausüben.

Der Hersteller stellt für squidGuard 1.3 und 1.4 über die Projektwebseite den Patch 20150201 als Sicherheitsupdate zur Verfügung. Für Fedora 22, 23 und 24 sowie Fedora EPEL 6 und 7 stehen Sicherheitsupdates für squidGuard 1.4 im Status 'testing' bereit.

Schwachstellen:

CVE-2015-8936

Schwachstelle in squidGuard ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.