Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Docker < 1.3.1 Google Go (golang) < 1.3.2 Betroffene Plattformen: openSUSE 13.2 Zwei Schwachstellen bezüglich TLS ermöglichen es einem entfernten, nicht authentifizierten Angreifer Sicherheitsvorkehrungen zu umgehen. Patch: openSUSE Security Update: openSUSE-SU-2014:1411-1 http://lists.opensuse.org/opensuse-updates/2014-11/msg00048.html

CVE-2014-5277: Schwachstelle in Docker ermöglicht Verwendung schwacher
Verschlüsselung

Eine Schwachstelle in Docker führt dazu, dass bei der Verwendung des SSL
Protokoll ein Rückfall zu einer schwächeren Verschlüsselung als TLS 1.0 im
Klient, bei der Verwendung des Daemon sowie in der Registry möglich ist.

CVE-2014-7189: Schwachstelle in Google Go (golang)

Eine Schwachstelle in Google Go (golang) in allen Versionen vor 1.3.2
besteht in einer fehlerhaften Implementierung für
TLS-Client-Authentifikation. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um die
TLS-Client-Authentifikation zu umgehen, welches weitere nicht spezifizierte
Angriffe ermöglicht.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1485/

Schwachstelle CVE-2014-7189 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7189

openSUSE Security Update: openSUSE-SU-2014:1411-1:
http://lists.opensuse.org/opensuse-updates/2014-11/msg00048.html

Schwachstelle CVE-2014-5277 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5277

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.