DFN-CERT-2014-0814 Castor: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][SuSE]

DFN-CERT-2014-0814 Castor: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Castor

Betroffene Plattformen:

openSUSE 12.3
openSUSE 13.1

Durch eine Schwachstelle in Castor ist es einem entfernten, nicht
authentifizierten Angreifer möglich Informationen auszuspähen.
Das Security Update von openSUSE referenziert eine weitere Schwachstelle,
die aber offensichtlich nicht mit Castor im Zusammenhang steht und daher als
Schreibfehler angesehen werden kann.

Patch:

openSUSE Security Update: openSUSE-SU-2014:0822-1

http://lists.opensuse.org/opensuse-updates/2014-06/msg00043.html

CVE-2014-3004: Schwachstelle in Castor ermöglicht XML-External-Entity
(XXE)-Angriffe

Die Standardeinstellung für den Xerces-SAX-Parser in Castor vor Version
1.3.3 beinhaltet eine XML-External-Entity-Schwachstelle. Ein entfernter,
nicht authentifizierter Angreifer kann, mit Hilfe von präparierten
XML-Dokumenten, XML-External-Entity-Angriffe durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0814/

openSUSE Security Update: openSUSE-SU-2014:0822-1:
http://lists.opensuse.org/opensuse-updates/2014-06/msg00043.html

Schwachstelle CVE-2014-3004 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3004

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben