Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 5 (21.10.2015):
Für SUSE Linux Enterprise Server 11 SP4 stehen Sicherheitsupdates bereit.
Version 4 (13.07.2015):
Für SUSE Linux Enterprise Desktop 11 SP3, Server 11 SP3 und Server 11 SP3
für VMware stehen Sicherheitsupdates bereit.
Version 3 (06.07.2015):
Für SUSE Linux Enterprise Desktop 12 und Server 12 stehen
Sicherheitsupdates zur Verfügung.
Version 2 (18.06.2015):
openSUSE stellt für die Distributionen openSUSE 13.1 und 13.2
Sicherheitsupdates zur Verfügung.
Version 1 (09.06.2015):
Neues Advisory
Betroffene Software:
strongSwan
Betroffene Plattformen:
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 14.10
Canonical Ubuntu Linux 15.04
Debian Linux 7.8 Wheezy
Debian Linux 8.0 Jessie
Debian Linux 9.0 Stretch
openSUSE 13.1
openSUSE 13.2
SUSE Linux Enterprise Desktop 11 SP3
SUSE Linux Enterprise Desktop 12
SUSE Linux Enterprise Server 11 SP3
SUSE Linux Enterprise Server 11 SP3 VMware
SUSE Linux Enterprise Server 11 SP4
SUSE Linux Enterprise Server 12
Eine Schwachstelle in strongSwan ermöglicht einem entfernten, nicht
authentifizierten Angreifer Informationen auszuspähen.
Für die Distributionen Debian Wheezy, Jessie und Stretch (testing), sowie
für Canonical Ubuntu 14.04 LTS, Ubuntu 14.10 und Ubuntu 15.04 stehen
Sicherheitsupdates bereit.
Patch:
Debian Security Advisory DSA-3282-1
https://www.debian.org/security/2015/dsa-3282
Patch:
Ubuntu Security Notice USN-2628-1
http://www.ubuntu.com/usn/usn-2628-1/
Patch:
openSUSE Security Update openSUSE-SU-2015:1082-1
http://lists.opensuse.org/opensuse-updates/2015-06/msg00040.html
Patch:
SUSE Security Update SUSE-SU-2015:1196-1
https://www.suse.com/support/update/announcement/2015/suse-su-20151196-1.html
Patch:
SUSE Security Update SUSE-SU-2015:1227-1
https://www.suse.com/support/update/announcement/2015/suse-su-20151227-1.html
Patch:
SUSE Security Update SUSE-SU-2015:1791-1
https://www.suse.com/support/update/announcement/2015/suse-su-20151791-1.html
CVE-2015-4171: Schwachstelle in strongSwan ermöglicht Ausspähen von
Informationen
Eine Schwachstelle in der IKEv2 Client-Authentifizierung führt dazu, dass
die Einschränkungen im Serverzertifikat, vom Client erst erzwungen werden,
nachdem alle Authentifizierungsschritte durchgeführt wurden. Damit die
Schwachstelle ausgenutzt werden kann, muss sich der Client gegenüber dem
Server mit einem vorab vereinbarten Schlüssel (pre-shared key) oder per EAP
authentifizieren, während der Server sich mittels Zertifikat
authentifiziert. Der Client kann durch die Vorlage eines gültigen
Zertifikates von einer für ihn vertrauenswürdigen CA von einem bösartigen
Server veranlasst werden sensible Informationen zu übermitteln.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0805/
Debian Security Advisory DSA-3282-1:
https://www.debian.org/security/2015/dsa-3282
Ubuntu Security Notice USN-2628-1:
http://www.ubuntu.com/usn/usn-2628-1/
Schwachstelle CVE-2015-4171 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4171
openSUSE Security Update openSUSE-SU-2015:1082-1:
http://lists.opensuse.org/opensuse-updates/2015-06/msg00040.html
SUSE Security Update SUSE-SU-2015:1196-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20151196-1.html
SUSE Security Update SUSE-SU-2015:1227-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20151227-1.html
SUSE Security Update SUSE-SU-2015:1791-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20151791-1.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
