2018-0848: CampusNet Webanwendung: Zwei Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2018-05-23 16:27)

Neues Advisory

Betroffene Software

Bildung

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

Eine Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen. In der Folge kann sich der Angreifer als Benutzer in der Weboberfläche von CampusNet anmelden, um Informationen auszuspähen und beliebige Aktionen im Kontext des angemeldeten Benutzers auszuführen. Eine weitere Schwachstelle ermöglicht dem Angreifer die Durchführung eines Cross-Site-Scripting (XSS)-Angriffes, wodurch der Angreifer unter anderem sensible Benutzerinformationen ausspähen und ebenfalls Aktionen im Kontext des betroffenen Benutzers ausführen kann.

Der Hersteller Datenlotsen stellt Kunden eine überarbeitete Version der Kern-Anwendung (cn800012c.ecf) zur Verfügung, welche die Cross-Site-Scripting (XSS)-Schwachstelle behebt. In der Datei 'magic.ini' muss dazu noch der entsprechende Aufrufparameter gesetzt werden: CN_ECF =%COMPONENTSPATH%cn800012c.ecf Hochschulen, welche CampusNet
einsetzen, wird empfohlen diesen Patch einzuspielen.

Schwachstellen:

CAMPUSNET-A

Schwachstelle in CampusNet ermöglicht Umgehen von Sicherheitsvorkehrungen

CAMPUSNET-B

Schwachstelle in CampusNet ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.