Workaround verfügbar

Sicherheitslücke in Apache Roller gemeldet

Die Entwickler von Apache Roller haben einen Workaround für eine Cross-Site-Scripting-Schwachstelle zur Verfügung gestellt.

Die Sicherheitslücke lässt sich zu so genannten Cross-Site-Scripting-Angriffen ausnutzen. Eingaben in den Parameter „q“ bei einer Suche überprüft die Software nicht ausreichend. Somit lässt sich unter Umständen beliebiger HTML- oder Script-Code in der Browser-Sitzung eines Anwenders ausführen.

Die Schwachstelle ist für die Version Apache Roller 4.0 bestätigt. Laut Berichten lässt sich die Lücke auch in den Varianten 2.3, 3.0 und 3.1 ausnutzen. Andere Versionen könnten ebenfalls betroffen sein. Im SVN-Repository haben die Entwickler das Problem bereits bereinigt. Die Sicherheitsanweisung im Original finden Sie bei Apache.org. (jdo)