Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 5 (25.09.2014):
Für die Distributionen Fedora 19 und Fedora 20 sind Sicherheitsupdates
erschienen.
Version 4 (25.09.2014):
Für Fedora EPEL 6 und Fedora EPEL 7 stehen Sicherheitsupdates zur
Verfügung.
Version 3 (24.09.2014):
Für die Distribution Fedora 21 steht ein Sicherheitsupdate bereit.
Version 2 (23.09.2014):
Für Ubuntu 14.04 LTS wurden aktualisierte Pakete von nginx 1.4.6
bereitgestellt.
Version 1 (22.09.2014):
Neues Advisory
Betroffene Software:
nginx
Betroffene Plattformen:
Canonical Ubuntu Linux 14.04 Lts
Debian Linux 7.6 Wheezy
Debian Linux 8.0 Jessie
Red Hat Fedora 19
Red Hat Fedora 20
Red Hat Fedora 21
Extra Packages for Red Hat Enterprise Linux 6
Extra Packages for Red Hat Enterprise Linux 7
Durch eine Schwachstelle in nginx ist es einem entfernten, nicht
authentifizierten Angreifer möglich, zwischengespeicherte SSL-Sitzungen
wiederzuverwenden und so Benutzerrechte zu erlangen.
Patch:
Debian Security Advisory DSA-3029-1
https://www.debian.org/security/2014/dsa-3029
Patch:
Ubuntu Security Advisory USN-2351-1
http://www.ubuntu.com/usn/usn-2351-1/
Patch:
Fedora Security Update FEDORA-2014-11251
https://admin.fedoraproject.org/updates/FEDORA-2014-11251/nginx-1.6.2-2.fc21
Patch:
Fedora Security Update FEDORA-2014-11370
https://admin.fedoraproject.org/updates/FEDORA-2014-11370/nginx-1.4.7-3.fc19
Patch:
Fedora Security Update FEDORA-2014-11415
https://admin.fedoraproject.org/updates/FEDORA-2014-11415/nginx-1.4.7-3.fc20
Patch:
Fedora Security Update FEDORA-EPEL-2014-2825
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-2825/nginx-1.6.2-1.el7
Patch:
Fedora Security Update FEDORA-EPEL-2014-2850
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-2850/nginx-1.0.15-7.el6
CVE-2014-3616: Schwachstelle in nginx ermöglicht
Virtual-Host-Confusion-Angriffe
Es existiert eine Schwachstelle in nginx, die das Wiederverwenden von
zwischengespeicherte SSL-Sitzungen bei nicht verwandten Kontexten
ermöglicht. Ein entfernter, nicht authentifizierter Angreifer kann
Virtual-Host-Confusion-Angriffe durchführen und damit, unter Umgehung von
Sicherheitsvorkehrungen, Benutzersitzungen übernehmen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1241/
Debian Security Advisory DSA-3029-1:
https://www.debian.org/security/2014/dsa-3029
Schwachstelle CVE-2014-3616 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3616
Ubuntu Security Advisory USN-2351-1:
http://www.ubuntu.com/usn/usn-2351-1/
Fedora Security Update FEDORA-2014-11251:
https://admin.fedoraproject.org/updates/FEDORA-2014-11251/nginx-1.6.2-2.fc21
Fedora Security Update FEDORA-2014-11370:
https://admin.fedoraproject.org/updates/FEDORA-2014-11370/nginx-1.4.7-3.fc19
Fedora Security Update FEDORA-2014-11415:
https://admin.fedoraproject.org/updates/FEDORA-2014-11415/nginx-1.4.7-3.fc20
Fedora Security Update FEDORA-EPEL-2014-2825:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-2825/nginx-1.6.2-1.el7
Fedora Security Update FEDORA-EPEL-2014-2850:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-2850/nginx-1.0.15-7.el6
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
