UPDATE: DFN-CERT-2016-0325 Bibliothek libssh2: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Fedora]

UPDATE: DFN-CERT-2016-0325 Bibliothek libssh2: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (24.02.2016):
Debian stellt Sicherheitsupdates für die Distributionen Wheezy (oldstable)
und Jessie (stable) zur Verfügung, um diese Schwachstelle zu beheben.
Version 1 (24.02.2016):
Neues Advisory

Betroffene Software:

Bibliothek libssh

Betroffene Plattformen:

Debian Linux 7.9 Wheezy
Debian Linux 8.3 Jessie
Red Hat Fedora 22
Red Hat Fedora 23

Eine Schwachstelle in der Bibliothek libssh2 ermöglicht einem entfernten,
nicht authentifizierten Angreifer Sicherheitsvorkehrungen zu umgehen und in
der Folge möglicherweise Informationen auszuspähen.

Für Fedora 22 und 23 stehen Sicherheitsupdates in Form der Pakete
libssh2-1.5.0-2.fc22 im Status ‘testing’ und libssh2-1.6.0-4.fc23 im Status
‘pending’ zur Verfügung.

Patch:

Fedora Security Update FEDORA-2016-215a2219b1 (Fedora 23)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-215a2219b1

Patch:

Fedora Security Update FEDORA-2016-7942ee2cc5 (Fedora 22)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-7942ee2cc5

Patch:

Debian Security Advisory DSA-3487-1

https://www.debian.org/security/2016/dsa-3487

CVE-2016-0787: Schwachstelle in libssh2 ermöglicht das Umgehen von
Sicherheitsvorkehrungen

Während des SSHv2-Handshakes, wenn die Bibliothek libssh2 einen geeigneten
Wert für ‘group order’ in der Diffie Hellman-Vereinbarung erhalten soll,
gibt diese eine Anzahl von Bytes an eine Funktion weiter, die eine Anzahl
von Bits erwartet. Das hat zur Folge, dass die Bibliothek bei der Erzeugung
von Zahlen nur ein Achtel der beabsichtigten zufälligen Bits verwendet,
also: 128 oder 256 Bits anstelle von 1023 oder 2047. Durch diese drastische
Reduktion der zufälligen Bits für Diffie Hellman wird die Sicherheit des
Handshakes signifikant geschwächt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0325/

Fedora Security Update FEDORA-2016-215a2219b1 (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-215a2219b1

Fedora Security Update FEDORA-2016-7942ee2cc5 (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-7942ee2cc5

Schwachstelle CVE-2016-0787 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0787

Debian Security Advisory DSA-3487-1:
https://www.debian.org/security/2016/dsa-3487

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben