Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 2 (19.08.2014):
Für die Distributionen Red Hat Enterprise Linux Desktop (v. 7), Red Hat
Enterprise Linux HPC Node (v. 7), Red Hat Enterprise Linux Server (v. 7)
und Red Hat Enterprise Linux Workstation (v. 7) werden aktualisierte
Pakete von nss, nss-util, and nss-softokn bereitgestellt.
Version 1 (03.04.2014):
Neues Advisory
Betroffene Software:
Mozilla Network Security Services < 3.16 Betroffene Plattformen: Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 12.10 Canonical Ubuntu Linux 13.10 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 7 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Workstation 7 Durch eine Schwachstelle in Mozilla Network Security Services (NSS) ist es einem entfernten, nicht authentifizierten Angreifer mittels eines manipulierten Zertifikates möglich Absicherungen von SSL Servern auszuhebeln. Patch: Ubuntu Security Notice USN-2159-1 http://www.ubuntu.com/usn/usn-2159-1/
Patch:
RedHat Security Advisory RHSA-2014:1073
http://rhn.redhat.com/errata/RHSA-2014-1073.html
CVE-2014-1492: Schwachstelle in Mozilla Network Security Services (NSS)
Es besteht ein Fehler in der “cert_TestHostName”-Funktion in
“lib/certdb/certdb.c” der Certificate-Checking-Implementation. Ein
entfernter, nicht authentifizierter Angreifer kann per
Man-in-the-Middle-Angriff gefälschte SSL-Zertifikate einschleusen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0406/
Schwachstelle CVE-2014-1492 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1492
Ubuntu Security Notice USN-2159-1:
http://www.ubuntu.com/usn/usn-2159-1/
RedHat Security Advisory RHSA-2014:1073:
http://rhn.redhat.com/errata/RHSA-2014-1073.html
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
