2019-1395: Team Foundation Server, Azure DevOps Server: Zwei Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

Historie:

Version 1 (2019-07-10 18:09)

Neues Advisory

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Microsoft

Beschreibung:

Ein entfernter, eventuell auch nicht authentisierter Angreifer kann eine Schwachstelle ausnutzen, um beliebigen Programmcode mit den Rechten des betroffenen Dienstes auszuführen. Eine weitere Schwachstelle ermöglicht einem entfernten, einfach authentisierten Angreifer einen Cross-Site-Scripting (XSS)-Angriff durchzuführen.

Microsoft bestätigt die Schwachstelle CVE-2019-1072 für Azure DevOps Server 2019.0.1 sowie Team Foundation Server 2010 SP1 (X86, x64), 2012 Update 4, 2013 Update 5, 2015 Update 4.2, 2017 Update 3.1, 2018 Update 1.2 und 2018 Update 3.2. Die Schwachstelle CVE-2019-1076 betrifft nur Azure DevOps Server 2019.0.1 und Team Foundation Server 2018 Update 3.2.
Es stehen Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2019-1072

Schwachstelle in Azure DevOps Server und Team Foundation Server ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2019-1076

Schwachstelle in Team Foundation Server ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.