Kurzinfo CB-K17/0966

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Sophos Web Appliance: Zwei Schwachstellen ermöglichen einen Cross-Site-Scripting-Angriff und die Manipulation der Anwendung
Datum: 09.06.2017
Software: Sophos Web Appliance Software < 4.3.2
Plattform: Sophos Web Appliance
Auswirkung: Cross-Site-Scripting
Remoteangriff: Ja
Risiko: hoch
CVE Liste: CVE-2017-9523
Bezug: Release Notes Sophos Web Appliance 4.3.2
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

Sophos Web Appliances bieten hardwaregestützten Schutz vor Ransomware, Malware und schädlichen Internetseiten.

Ein entfernter, nicht authentisierter Angreifer kann zwei Schwachstellen in Sophos Web Appliances unter bestimmten Umständen ausnutzen, um einen Cross-Site-Scripting (XSS)-Angriff durchzuführen oder die Anwendung durch Manipulation eines Updates zu kompromittieren. Der Hersteller informiert über die Schwachstellen und weitere Fehler und stellt die Version 4.3.2 als Sicherheitsupdate zur Verfügung, das im Verlauf der kommenden Wochen ausgeliefert wird (siehe Blogbeitrag). Zur Behebung der zweiten Schwachstelle implementiert das Release die Verwendung von HTTPS mit Certificate Pinning für den Download von Produkt-Updates. Sobald der Rollout des Releases abgeschlossen ist, soll die Sophos-Infrastruktur auf die Verwendung von HTTPS umgestellt werden.

  1. Release Notes Sophos Web Appliance 4.3.2

  2. Schwachstelle CVE-2017-9523 (NVD)

  3. Sophos Community: Release of SWA v4.3.2 - security and defect fix rollup

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.