Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Netty <= 4.0.27 Betroffene Plattformen: Red Hat Fedora 21 Red Hat Fedora 22 Eine Schwachstelle in Netty ermöglicht einem entfernten, nicht authentifizierten Angreifer Sicherheitsmaßnahmen zu umgehen. Patch: Fedora Security Update FEDORA-2015-8684 https://admin.fedoraproject.org/updates/FEDORA-2015-8684/netty-4.0.28-1.fc22

Patch:

Fedora Security Update FEDORA-2015-8713

https://admin.fedoraproject.org/updates/FEDORA-2015-8713/netty-4.0.28-1.fc21

CVE-2015-2156: Schwachstelle in Netty ermöglicht Umgehen von
Sicherheitsmaßnahmen

Eine Schwachstelle in dem CookieDecoder innerhalb der HTTP-Unterstützung von
Netty führt dazu, dass die Überprüfung von Zeichen in Cookie Namen und
Werten nicht fehlerfrei durchgeführt wird. Bei Zeichenketten, die mit einem
einfachen oder doppelten Anführungszeichen enden, werden die
Anführungszeichen nicht einfach verworfen, sondern der ganze Text bis zum
Ende der Kopfzeile oder bis zu anderen Sonderzeichen wird stattdessen
hinzugefügt. Dadurch ist es möglich die Begrenzungen durch das
“httponly”-Flag für sensible Cookies zu umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0745/

Fedora Security Update FEDORA-2015-8684:
https://admin.fedoraproject.org/updates/FEDORA-2015-8684/netty-4.0.28-1.fc22

Fedora Security Update FEDORA-2015-8713:
https://admin.fedoraproject.org/updates/FEDORA-2015-8713/netty-4.0.28-1.fc21

Schwachstelle CVE-2015-2156 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2156

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.