DFN-CERT-2016-0381 Roundup: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Debian]

DFN-CERT-2016-0381 Roundup: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Roundup

Betroffene Plattformen:

Debian Linux 7.9 Wheezy
Debian Linux 8.3 Jessie

Durch Ausnutzen einer Schwachstelle kann ein entfernter, einfach
authentisierter Angreifer sensitive Informationen über andere Benutzer
ausspähen.

Debian stellt Sicherheitsupdates für die Distributionen Wheezy (oldstable)
und Jessie (stable) zur Verfügung. Für Stretch (testing) wurde die
Schwachstelle noch nicht behoben.

Patch:

Debian Security Advisory DSA-3502-1

https://www.debian.org/security/2016/dsa-3502

CVE-2014-6276: Schwachstelle in Roundup ermöglicht Ausspähen von
Informationen

In dem Tracker Roundup existiert eine Schwachstelle aufgrund unsicherer
Konfigurationseinstellungen in ‘schema.py’ im Auslieferungszustand des
Trackers. Der Zugriff auf die Benutzerklasse (user class) ist nicht weiter
eingeschränkt, so dass Benutzer allzu viele Details über andere Benutzer
sehen können, unter bestimmten Umständen auch deren gehashte Passwörter.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0381/

Debian Security Advisory DSA-3502-1:
https://www.debian.org/security/2016/dsa-3502

Schwachstelle CVE-2014-6276 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6276

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben