UPDATE: DFN-CERT-2014-1295 Mantis: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

UPDATE: DFN-CERT-2014-1295 Mantis: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (05.11.2014):
Für Fedora EPEL 5 steht ein Sicherheitsupdate zur Verfügung.
Version 1 (07.10.2014):
Neues Advisory

Betroffene Software:

Mantis <= 1.2.17 Betroffene Plattformen: Red Hat Fedora 19 Red Hat Fedora 20 Red Hat Fedora 21 Extra Packages for Red Hat Enterprise Linux 5 Eine Schwachstelle in der LDAP-Authentifizierung von Mantis, ermöglicht es einem entfernten, nicht authentifizierten Angreifer, sich mit einer beliebigen, registrierten Benutzerkennung anzumelden. Patch: Fedora Security Update FEDORA-2014-12146 https://admin.fedoraproject.org/updates/FEDORA-2014-12146/mantis-1.2.17-3.fc20

Patch:

Fedora Security Update FEDORA-2014-12165

https://admin.fedoraproject.org/updates/FEDORA-2014-12165/mantis-1.2.17-3.fc19

Patch:

Fedora Security Update FEDORA-2014-12184

https://admin.fedoraproject.org/updates/FEDORA-2014-12184/mantis-1.2.17-3.fc21

Patch:

Fedora Security Update FEDORA-EPEL-2014-3784

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3784/mantis-1.2.17-3.el5

CVE-2014-6387: Schwachstelle in Mantis bei LDAP-Authentifizierung

In Mantis existiert eine Schwachstelle, wenn für die Anmeldung am System
eine LDAP-Authentifizierung genutzt wird. Sofern “allow bind_anon_cred”
verwendet wird und sich Mantis auf die LDAP-Authentifizierung verlässt, kann
es durch einen NULL Byte Fehler dazu kommen, dass ein Angreifer sich als
beliebiger Benutzer anmeldet ohne das Anmeldepasswort zu kennen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1295/

Fedora Security Update FEDORA-2014-12146:
https://admin.fedoraproject.org/updates/FEDORA-2014-12146/mantis-1.2.17-3.fc20

Fedora Security Update FEDORA-2014-12165:
https://admin.fedoraproject.org/updates/FEDORA-2014-12165/mantis-1.2.17-3.fc19

Fedora Security Update FEDORA-2014-12184:
https://admin.fedoraproject.org/updates/FEDORA-2014-12184/mantis-1.2.17-3.fc21

Schwachstelle CVE-2014-6387 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6387

Fedora Security Update FEDORA-EPEL-2014-3784:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3784/mantis-1.2.17-3.el5

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben