DFN-CERT-2014-1486 Extra Packages for Red Hat Enterprise Linux, PolarSSL: Zwei Schwachstellen ermöglichen u. a. Ausspähen von Informationen [Linux][Fedora]

DFN-CERT-2014-1486 Extra Packages for Red Hat Enterprise Linux, PolarSSL: Zwei Schwachstellen ermöglichen u. a. Ausspähen von Informationen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

PolarSSL <= 1.3.8 Betroffene Plattformen: Extra Packages for Red Hat Enterprise Linux 5 Extra Packages for Red Hat Enterprise Linux 6 Durch Ausnutzen der Schwachstellen kann ein entfernter, nicht authentisierter Angreifer entweder Sicherheitsvorkehrungen umgehen oder sensible Informationen ausspähen. Die Schwachstellen werden durch PolarSSL 1.3.9 behoben, wobei CVE-2014-8627 überhaupt erst mit Version 1.3.8 eingeführt wurde. Für Extra Packages for Red Hat Enterprise Linux 5, 6 werden mit den neuen Paketen polarssl-1.3.2-3.el5 und polarssl-1.3.2-3.el6 die Schwachstellen durch "back ported" Patches behoben. Patch: Fedora EPEL Security Update FEDORA-EPEL-2014-3975 https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3975/polarssl-1.3.2-3.el6

Patch:

Fedora EPEL Security Update FEDORA-EPEL-2014-3983

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3983/polarssl-1.3.2-3.el5

CVE-2014-8628: Schwachstelle in PolarSSL ermöglicht Ausspähen von
Informationen

Eine Schwachstelle in PolarSSL besteht in zwei nicht näher beschriebenen
Speicherlecks. Ein entfernter, nicht authentisierter Angreifer kann diese
Schwachstelle ausnutzen, um Informationen auszuspähen.

CVE-2014-8627: Schwachstelle in PolarSSL ermöglicht das Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle in PolarSSL führt dazu, dass beim Aushandeln der
Verbindung ein schwächerer Signatur-Algorithmus als maximal möglich
verwendet wird. Ein entfernter, nicht authentifizierter Angreifer kann
aufgrund der Verwendung einer schwächeren Signatur Sicherheitsvorkehrungen
umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1486/

Fedora EPEL Security Update FEDORA-EPEL-2014-3975:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3975/polarssl-1.3.2-3.el6

Fedora EPEL Security Update FEDORA-EPEL-2014-3983:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3983/polarssl-1.3.2-3.el5

Schwachstelle CVE-2014-8627 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8627

Schwachstelle CVE-2014-8628 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8628

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben