UPDATE: DFN-CERT-2014-1157 Apache Commons HTTPClient: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][RedHat]

UPDATE: DFN-CERT-2014-1157 Apache Commons HTTPClient: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (09.09.2014):
Für verschiedene Red Hat Enterprise Linux 5, 6 und 7 Produkte stehen
Sicherheitsupdates bereit.
Version 1 (04.09.2014):
Neues Advisory

Betroffene Software:

Apache Commons HTTPClient

Betroffene Plattformen:

Red Hat Enterprise Linux Desktop 5 Client
Red Hat Enterprise Linux Desktop 5 Workstation/Client
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux Server 5
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 6.5 AUS
Red Hat Enterprise Linux Server 6.5.z EUS
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7

Eine Schwachstelle in Apache HTTPClient ermöglicht einem entfernten, nicht
authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen.

Patch:

Red Hat Security Advisory RHSA-2014:1146

http://rhn.redhat.com/errata/RHSA-2014-1146.html

Patch:

Red Hat Security Advisory RHSA-2014:1166

http://rhn.redhat.com/errata/RHSA-2014-1166.html

CVE-2014-3577: Schwachstelle in Apache Commons HTTPClient

Eine Schwachstelle im Apache HttpComponents HttpClient besteht darin, dass
die Überprüfung des Hostnames anfällig für Man-in-the-Middle-Angriffe ist.
Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle
ausnutzen, um einen Benutzer des HTTPClients auf einen falschen und
potentiell schädlichen Host umzuleiten, wodurch weitere, nicht näher
spezifizierte Angriffe möglich werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1157/

Schwachstelle CVE-2014-3577 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3577

Red Hat Security Advisory RHSA-2014:1146:
http://rhn.redhat.com/errata/RHSA-2014-1146.html

Red Hat Security Advisory RHSA-2014:1166:
http://rhn.redhat.com/errata/RHSA-2014-1166.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben