2018-2326: Loofah: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2018-11-14 10:40)

Neues Advisory

Version 2 (2018-11-28 10:40)

Für SUSE Linux Enterprise Module for Open Buildservice Development Tools 15 und SUSE Linux Enterprise High Availability 15 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'rubygem-loofah' bereit.

Version 3 (2018-11-30 10:31)

Für openSUSE Leap 15.0 steht ein Sicherheitsupdate bereit, mit dem die Schwachstelle in 'rubygem-loofah' behoben wird.

Version 4 (2019-01-09 15:44)

Für die stabile Distribution Debian Stretch steht ein Backport-Sicherheitsupdate bereit, um die Schwachstelle zu beheben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann eine SVG-Datei so präparieren, dass dadurch ein Cross-Site-Scripting (XSS)-Angriff auf Loofah möglich ist.

Die Schwachstelle wird mit Loofah 2.2.3 behoben.

Für Fedora 29 steht ein Sicherheitsupdate auf diese Version und für Fedora 27 und 28 Sicherheitsupdates in Form von 'rubygem-loofah-2.0.3-6'-Paketen im Status 'testing' bereit.

Schwachstellen:

CVE-2018-16468

Schwachstelle in Loofah ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.