DFN-CERT-2014-1185 Not-Yet-Commons SSL: Schwachstelle ermöglicht einen Man-in-the-Middle-Angriff [Linux][Fedora]

DFN-CERT-2014-1185 Not-Yet-Commons SSL: Schwachstelle ermöglicht einen Man-in-the-Middle-Angriff [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Red Hat Fedora 19
Red Hat Fedora 20
Red Hat Fedora 21

Betroffene Plattformen:

Red Hat Fedora

Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle zu
einem Man-in-the-Middle-Angriff ausnutzen und Sicherheitsvorkehrungen
umgehen.
Fedora stellt für die Distribution Fedora 19, 20 und 21 Sicherheitsupdates
zur Verfügung.

Patch:

Fedora Security Update FEDORA-2014-10544

https://admin.fedoraproject.org/updates/FEDORA-2014-10544/not-yet-commons-ssl-0.3.15-1.fc21

Patch:

Fedora Security Update FEDORA-2014-10573

https://admin.fedoraproject.org/updates/FEDORA-2014-10573/not-yet-commons-ssl-0.3.15-1.fc19

Patch:

Fedora Security Update FEDORA-2014-10586

https://admin.fedoraproject.org/updates/FEDORA-2014-10586/not-yet-commons-ssl-0.3.15-1.fc20

CVE-2014-3604: Schwachstelle erlaubt das Umgehen von Sicherheitsvorkehrungen

Es besteht eine Schwachstelle in der SSL-Bibliothek “not-yet-commons”,
welche die Übereinstimmung von Servernamen und dem im Subject-CN eines
Zertifikats enthaltenen Domainnamen fehlerhaft überprüft. Ein entfernter,
nicht authentisierter Angreifer kann, mit Hilfe eines speziell vorbereiteten
CN-Feldes, diese Schwachstelle zu einem Man-in-the-Middle-Angriff ausnutzen
und so Sicherheitsvorkehrungen umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1185/

Fedora Security Update FEDORA-2014-10544:
https://admin.fedoraproject.org/updates/FEDORA-2014-10544/not-yet-commons-ssl-0.3.15-1.fc21

Fedora Security Update FEDORA-2014-10573:
https://admin.fedoraproject.org/updates/FEDORA-2014-10573/not-yet-commons-ssl-0.3.15-1.fc19

Fedora Security Update FEDORA-2014-10586:
https://admin.fedoraproject.org/updates/FEDORA-2014-10586/not-yet-commons-ssl-0.3.15-1.fc20

Schwachstelle CVE-2014-3604 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3604

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben