2018-0801: Velum: Zwei Schwachstellen ermöglichen Cross-Site-Scripting- und HTML-Injection-Angriffe

Historie:

Version 1 (2018-04-27 16:17)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Cloud
Linux

Beschreibung:

Eine Schwachstelle in Loofah vor Version 2.2.1 ermöglicht einem entfernten, nicht authentifizierten Angreifer das Einschleusen von bösartigem HTML-Programmcode in Nicht-Whitelist-Parameter (HTML-Injection). Eine weitere Schwachstelle in RubyGem Rails HTML Sanitizer vor Version 1.0.4 ermöglicht es einem solchen Angreifer, mittels HTML-Fragmenten Nicht-Whitelist-Attribute in Anwendungen einzuschleusen (Cross-Site-Scripting, XSS).

Für die SUSE Container-as-a-Service-(CaaS)-Plattform steht ein Sicherheitsupdate in Form des Pakets 'sles12-velum-image-2.0.1-2.7.3' zur Verfügung, durch welches beide Schwachstellen behoben werden.

Schwachstellen:

CVE-2018-3741

Schwachstelle in RubyGem Rails HTML Sanitizer ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-8048

Schwachstelle in Loofah ermöglicht HTML-Injection-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.