2019-2232: noVNC: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2019-10-28 13:40)

Neues Advisory

Version 2 (2020-03-10 17:10)

Für Red Hat Enterprise Linux OpenStack Platform 13.0 steht ein Sicherheitsupdate bereit, mit dem die Schwachstelle in 'novnc' adressiert wird.

Version 3 (2020-09-22 12:08)

Canonical stellt für Ubuntu 16.04 LTS ein Sicherheitsupdate für noVNC bereit, um die Schwachstelle zu beheben.

Version 4 (2021-12-28 14:27)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'noVNC' auf Version 1:0.4+dfsg+1+20131010+gitf68af8af3d-6+deb9u1 zur Behebung der Schwachstelle zur Verfügung.

Version 5 (2023-01-03 08:27)

Für Fedora EPEL 7 steht ein Sicherheitsupdate in Form des Pakets 'novnc-1.3.0-5.el7' im Status 'testing' bereit, um die Schwachstelle zu beheben. Hiermit erfolgt ein Update auf die Version 1.3.0.

Betroffene Software

Netzwerk
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann die Schwachstelle aus der Ferne ausnutzen, um einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers und kann Einfluss auf andere Komponenten haben.

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für 'noVNC' auf Version 1:0.4+dfsg+1+20131010+gitf68af8af3d-4+deb8u1 zur Behebung der Schwachstelle zur Verfügung.

Schwachstellen:

CVE-2017-18635

Schwachstelle in noVNC ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.