2019-0978: Team Foundation Server, Azure DevOps Server: Mehrere Schwachstellen ermöglichen u. a. die Durchführung von Cross-Site-Scripting (XSS)-Angriffen

Historie:

Version 1 (2019-05-15 17:33)

Neues Advisory

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Microsoft

Beschreibung:

Mehrere Schwachstellen im Team Foundation Server und Azure DevOps Server ermöglichen einem entfernten, einfach authentifizierten Angreifer die Durchführung von Cross-Site-Scripting (XSS)-Angriffen sowie das Ausspähen von Informationen. Die Schwachstellen können zumeist mittels einer speziell präparierten Nutzlast, die an einen Team Foundation Server oder Azure DevOps Server gesendet wird, ausgenutzt werden.

Der Hersteller informiert darüber, dass die Schwachstellen bisher weder öffentlich bekannt sind noch aktiv ausgenutzt werden. Die zukünftige Ausnutzung der Schwachstellen ist weniger wahrscheinlich, trotzdem wird der Schweregrad als 'important' eingestuft.

Microsoft stellt im Rahmen des aktuellen Patchtages im Mai 2019 Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung. Diese können im Microsoft Security Update Guide über die Kategorie 'Development Tools' und das Produkt 'Team Foundation Server' bzw. 'Azure DevOps Server' identifiziert werden.

Schwachstellen:

CVE-2019-0872 CVE-2019-0979

Schwachstellen in Team Foundation Server und Azure DevOps Server ermöglichen Cross-Site-Scripting-Angriffe

CVE-2019-0971

Schwachstelle in Team Foundation Server und Azure DevOps Server ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.