DFN-CERT-2015-0769 cURL: Mehrere Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen und Ausspähen von Informationen [Linux][SuSE]

DFN-CERT-2015-0769 cURL: Mehrere Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen und Ausspähen von Informationen [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

cURL

Betroffene Plattformen:

SUSE Software Development Kit 11 SP3 Enterprise
SUSE Linux Enterprise Desktop 11 SP3
SUSE Linux Enterprise Server 11 SP3
SUSE Linux Enterprise Server 11 SP3 VMware

Mehrere Schwachstellen in cURL ermöglichen einem entfernten, nicht
authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen und
Ausspähen von Informationen. SUSE stellt für die SUSE Linux Enterprise 11
SP3 Produkte Software Development Kit, Server, Server für VMware und Desktop
Sicherheitsupdates bereit.

Patch:

SUSE Security Update SUSE-SU-2015:0962-1

https://www.suse.com/support/update/announcement/2015/suse-su-20150962-1.html

CVE-2015-3153: Schwachstelle in cURL ermöglicht Ausspähen von Informationen

Eine Schwachstelle in cURL bei der Verwendung von Proxy-Servern und
HTTPS-Verbindungen führt in der Standard-Konfiguration dazu, dass derselbe
HTTP-Header sowohl zum Proxy-Server wie auch zum Ziel-Server gesendet wird.
Dadurch können sensitive Informationen an den Proxy-Server gelangen.

CVE-2015-3148: Schwachstelle in cURL ermöglicht das Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle in libcurl basiert auf der Wiederverwendung von bereits
zusammen mit NTLM authentifizierten “Negotiate”-Verbindungen, die aber nicht
als solche im Verbindungs-Pool markiert werden, so dass HTTP-Anfragen eines
Benutzers trotz Angabe seiner Zugangsdaten mit der Authentifizierung eines
anderen Benutzers ausgeführt werden. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um Sicherheitsvorkehrungen zu
umgehen.

CVE-2015-3143: Schwachstelle in cURL ermöglicht das Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle in libcurl basiert auf der Wiederverwendung von bereits
zusammen mit NTLM authentifizierten “Negotiate”-Verbindungen ohne die Angabe
von Zugangsdaten eines Benutzers, so dass HTTP-Anfragen mit der
Authentifizierung eines anderen Benutzers ausgeführt werden. Ein entfernter,
nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
Sicherheitsvorkehrungen zu umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0769/

Schwachstelle CVE-2015-3143 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3143

Schwachstelle CVE-2015-3148 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3148

Schwachstelle CVE-2015-3153 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3153

SUSE Security Update SUSE-SU-2015:0962-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150962-1.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben