UPDATE: DFN-CERT-2014-1600 Icecast: Zwei Schwachstellen ermöglichen u. a. das Ausspähen von Informationen [Linux][Fedora][SuSE]

UPDATE: DFN-CERT-2014-1600 Icecast: Zwei Schwachstellen ermöglichen u. a. das Ausspähen von Informationen [Linux][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (08.12.2014):
Für die Distributionen openSUSE 12.3 und openSUSE 13.1 stehen
Sicherheitsupdates zur Behebung beider Schwachstellen zur Verfügung. Für
openSUSE 13.2 steht ein Sicherheitsupdate, welches die Schwachstelle
CVE-2014-9018 adressiert, bereit.
Version 2 (08.12.2014):
Für die Distributionen Fedora 19, Fedora 20 und Fedora 21 wurden
Sicherheitsupdates erstellt.
Version 1 (05.12.2014):
Neues Advisory

Betroffene Software:

Icecast <= 2.4.1 Betroffene Plattformen: openSUSE 12.3 openSUSE 13.1 openSUSE 13.2 Red Hat Fedora 19 Red Hat Fedora 20 Red Hat Fedora 21 Extra Packages for Red Hat Enterprise Linux 5 Extra Packages for Red Hat Enterprise Linux 6 Durch Ausnutzen zweier Schwachstellen kann entweder ein entfernter, nicht authentifizierter Angreifer sensible Informationen ausspähen oder ein lokaler, nicht authentifizierter Angreifer verschiedene Angriffe durchführen, welche die Vertraulichkeit, Integrität und Verfügbarkeit beeinträchtigen können. Für Extra Packages for Red Hat Enterprise Linux 5 und 6 werden Sicherheitsupdates in der Form aktualisierter Pakete von icecast-2.4.1 bereitgestellt, um diese Schwachstellen zu beheben. Patch: Fedora Security Update FEDORA-EPEL-2014-4441 https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4441/icecast-2.4.1-1.el5

Patch:

Fedora Security Update FEDORA-EPEL-2014-4442

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4442/icecast-2.4.1-1.el6

Patch:

Fedora Security Update FEDORA-2014-16394

https://admin.fedoraproject.org/updates/FEDORA-2014-16394/icecast-2.4.1-1.fc20

Patch:

Fedora Security Update FEDORA-2014-16435

https://admin.fedoraproject.org/updates/FEDORA-2014-16435/icecast-2.4.1-1.fc21

Patch:

Fedora Security Update FEDORA-2014-16483

https://admin.fedoraproject.org/updates/FEDORA-2014-16483/icecast-2.4.1-1.fc19

Patch:

openSUSE Security Update: openSUSE-SU-2014:1591-1

http://lists.opensuse.org/opensuse-updates/2014-12/msg00037.html

Patch:

openSUSE Security Update: openSUSE-SU-2014:1593-1

http://lists.opensuse.org/opensuse-updates/2014-12/msg00038.html

CVE-2014-9091: Schwachstelle in Icecast erlaubt verschiedene Angriffe

Eine Schwachstelle in Icecast besteht darin, dass zusätzliche Gruppen nicht
übergangen werden. Ein lokaler, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um mit Hilfe zusätzlicher Gruppen möglicherweise
Berechtigungen zu erlangen, mittels derer er verschiedene, nicht näher
beschriebene Angriffe durchführen kann.

CVE-2014-9018: Eine Schwachstelle in Icecast erlaubt sensible Informationen
auszuspähen

Eine Schwachstelle in Icecast bevor 2.4.1 besteht darin, dass dieses die
Ausgabe des “on-connect”-Skripts mit überträgt. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um sensible
Information bezüglich geteilter Dateibeschreibungen auszuspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1600/

Schwachstelle CVE-2014-9018 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9018

Fedora Security Update FEDORA-EPEL-2014-4441:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4441/icecast-2.4.1-1.el5

Fedora Security Update FEDORA-EPEL-2014-4442:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4442/icecast-2.4.1-1.el6

Schwachstelle CVE-2014-9091 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9091

Fedora Security Update FEDORA-2014-16394:
https://admin.fedoraproject.org/updates/FEDORA-2014-16394/icecast-2.4.1-1.fc20

Fedora Security Update FEDORA-2014-16435:
https://admin.fedoraproject.org/updates/FEDORA-2014-16435/icecast-2.4.1-1.fc21

Fedora Security Update FEDORA-2014-16483:
https://admin.fedoraproject.org/updates/FEDORA-2014-16483/icecast-2.4.1-1.fc19

openSUSE Security Update: openSUSE-SU-2014:1591-1:
http://lists.opensuse.org/opensuse-updates/2014-12/msg00037.html

openSUSE Security Update: openSUSE-SU-2014:1593-1:
http://lists.opensuse.org/opensuse-updates/2014-12/msg00038.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben