DFN-CERT-2016-0086 IBM Mobile Connect, IBM Security Network Protection: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Unix][AIX][Windows][Netzwerk]

DFN-CERT-2016-0086 IBM Mobile Connect, IBM Security Network Protection: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Unix][AIX][Windows][Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

IBM Mobile Connect 6.1.5.2
IBM Security Network Protection 5.3.1
IBM Security Network Protection 5.3.2

Betroffene Plattformen:

GNU/Linux
IBM AIX
IBM Security Network Protection
Microsoft Windows

Eine Schwachstelle in der Komponente GSKit, die unter anderem in IBM Mobile
Connect und IBM Security Network Protection verwendet wird, erlaubt einem
entfernten, nicht authentifizierten Angreifer das Ausspähen sensibler
Informationen (Credentials) und dadurch das Erlangen von
Benutzerberechtigungen.

Für IBM Mobile Connect 6.1.5.2 empfiehlt IBM, die Anweisungen in Technote
7009682 zu befolgen und ein Update auf den Build Level 20160113 oder später.

Für IBM Security Network Protection empfiehlt IBM das Sicherheitsupdate auf
die Firmware Versionen 5.3.1.7 bzw. 5.3.2.1.

Workaround:

Für IBM Mobile Connect 6.1.5.2 besteht die Möglichkeit, in TLS 1.2 auf
MD5-basierte Chriffren zu verzichten, um das Ausnutzen der Schwachstelle zu
verhindern.

Patch:

IBM Product Documentation swg27009682 (IBM Mobile Connect)

http://www-01.ibm.com/support/docview.wss?uid=swg27009682

Patch:

IBM Security Bulletin swg21974242 (IBM Security Network Protection)

http://www-01.ibm.com/support/docview.wss?uid=swg21974242

Patch:

IBM Security Bulletin swg21974621 (IBM Mobile Connect)

http://www-01.ibm.com/support/docview.wss?uid=swg21974621

CVE-2016-0201: Schwachstelle in IBM-Komponente GSKit ermöglicht Ausspähen
von Informationen

Es existiert eine Schwachstelle in der IBM GSKit-Komponente von IBM Mobile
Connect und IBM Security Network aufgrund der Möglichkeit einer
MD5-Kollision, d.h. die absichtliche Wahl unterschiedlicher Inhalte, für die
der MD5-Algorithmus jedoch identische MD5-Hashwerte liefert. Durch gezieltes
Herbeiführen eine MD5-Kollision ist es einem Angreifer dadurch möglich,
Authentifizierungs-Berechtigungen (Credentials) zu bestimmen und somit
sensible Informationen auszuspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0086/

IBM Product Documentation swg27009682 (IBM Mobile Connect):
http://www-01.ibm.com/support/docview.wss?uid=swg27009682

IBM Security Bulletin swg21974242 (IBM Security Network Protection):
http://www-01.ibm.com/support/docview.wss?uid=swg21974242

IBM Security Bulletin swg21974621 (IBM Mobile Connect):
http://www-01.ibm.com/support/docview.wss?uid=swg21974621

Schwachstelle CVE-2016-0201 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0201

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben