DFN-CERT-2015-0605 Async-Http-Client: Zwei Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

DFN-CERT-2015-0605 Async-Http-Client: Zwei Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Red Hat Fedora 20

Betroffene Plattformen:

Red Hat Fedora

Zwei Schwachstellen in Async-Http-Client ermöglichen es einem entfernten,
nicht authentifizierten Angreifer Sicherheitsmaßnahmen zu umgehen.

Für Fedora 20 wird das Sicherheitsupdate async-http-client-1.7.22-2.fc20 im
Status ‘testing’ zur Verfügung gestellt.

Patch:

Fedora Security Update FEDORA-2015-6891

https://admin.fedoraproject.org/updates/FEDORA-2015-6891/async-http-client-1.7.22-2.fc20

CVE-2013-7398: Schwachstelle im Async-Http-Client ermöglicht Umgehen von
Sicherheitsmaßnahmen

Eine Schwachstelle im Async-Http-Client führt dazu, dass nicht überprüft
wird, ob der Hostname mit dem Domainnamen im Common Name (CN) oder
subjectAltName des vorgelegten X509 Zertifikates übereinstimmt. Dies
ermöglicht es, mit einem für alle Domainnamen gültigem Zertifikat, einen SSL
Server vorzutäuschen. Ein entfernter, nicht authentifizierter Angreifer kann
Sicherheitsmaßnahmen umgehen.

CVE-2013-7397: Schwachstelle in Async-Http-Client ermöglicht Umgehen von
Sicherheitsmaßnahmen

Eine Schwachstelle im Async-Http-Client führt dazu, dass die Überprüfung von
SSL/TSL Zertifikaten unter nicht näher beschriebenen Umständen deaktiviert
wird. Ein entfernter, nicht authentifizierter Angreifer kann durch
präparierte Zertifikate Sicherheitsmaßnahmen umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0605/

Schwachstelle CVE-2013-7397 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-7397

Schwachstelle CVE-2013-7398 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-7398

Fedora Security Update FEDORA-2015-6891:
https://admin.fedoraproject.org/updates/FEDORA-2015-6891/async-http-client-1.7.22-2.fc20

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben