UPDATE: DFN-CERT-2016-1157 PHP, TYPO3, Drupal, Golang: Eine Schwachstelle ermöglicht HTTP-Proxy-Umleitungen [Linux][Fedora][RedHat][Unix][Solaris][Windows]

UPDATE: DFN-CERT-2016-1157 PHP, TYPO3, Drupal, Golang: Eine Schwachstelle ermöglicht HTTP-Proxy-Umleitungen [Linux][Fedora][RedHat][Unix][Solaris][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 5 (10.08.2016):
Für Python wird das ‘httpoxy’-Problem unter der Referenz CVE-2016-1000110
adressiert. Für Fedora 23, 24 und 25 sowie Fedora EPEL 7 stehen
Sicherheitsupdates zur Behebung der Schwachstelle CVE-2016-1000110 in Form
der Pakete ‘python-2.7.11-8.fc23’, ‘python3-3.4.3-12.fc23’,
‘python-2.7.12-2.fc24’, ‘python3-3.5.1-13.fc24’, ‘python-2.7.12-3.fc25’,
‘python3-3.5.1-15.fc25’ im Status ‘testing’ bzw. ‘python34-3.4.3-7.el7’ im
Status ‘pending’ bereit. Zusätzlich referenziert das Fedora Security
Update für Fedora EPEL 7 die Schwachstelle CVE-2016-5636, welche in den
anderen Fedora-Distributionen schon durch frühere Sicherheitsupdates
behoben wurde.
Version 4 (03.08.2016):
Für Für Oracle Linux 7 stehen Sicherheitsupdates zur Behebung der
Schwachstelle CVE-2016-5386 in Golang bereit.
Version 3 (03.08.2016):
Für die Red Hat Enterprise Linux 7 Produkte Server, Server AUS 7.2 und
Server EUS 7.2 stehen zur Behebung der Schwachstelle CVE-2016-5386
Sicherheitsupdates für Golang bereit.
Version 2 (21.07.2016):
Für Fedora 23 und 24 stehen Sicherheitsupdates für Golang in Form der
Pakete golang-1.5.4-2.fc23 und golang-1.6.3-1.fc24 im Status ‘testing’
bereit. Für Golang wurde für das unter dem Namen ‘httpoxy’ bekannte
Problem die CVE-2016-5386 vergeben, weshalb diese hier mit aufgenommen
wurde.
Version 1 (19.07.2016):
Neues Advisory

Betroffene Software:

Drupal Core < 8.1.7 Google Go (golang) <= 1.6.2 PHP <= 7.0.8 Python TYPO3 >= 8.0.0
TYPO3 <= 8.2.0 Betroffene Plattformen: Drupal Core 8.x TYPO3 Oracle Linux 7 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server 7.2 AUS Red Hat Enterprise Linux Server 7.2 EUS Red Hat Fedora 23 Red Hat Fedora 24 Red Hat Fedora 25 Extra Packages for Red Hat Enterprise Linux 7 Ein entfernter, nicht authentisierter Angreifer kann eine durch RFC 3875 Sektion 4.1.18 (The Common Gateway Interface, CGI) bedingte Schwachstelle in der PHP-Bibliothek Guzzle in PHP bis Version 7.0.8 ausnutzen, um mit einem präparierten Proxy-Header in einem HTTP-Request den ausgehenden HTTP-Verkehr einer Anwendung auf einen beliebigen, schädlichen Proxy-Server umzuleiten ("httpoxy"-Problem). Während für Mitigationen des "httpoxy"-Problems für den Apache Software Foundation HTTP-Server die CVE-2016-5387 vergeben ist, wurde für PHP eine eigene CVE zugewiesen. TYPO3 informiert darüber, dass TYPO3 CMS in den Versionen 8.0.0 - 8.2.0 von der Schwachstelle betroffen ist und stellt die Version 8.2.1 als Sicherheitsupdate zur Verfügung, welches zügig installiert werden sollte. Das Drupal Security Team informiert über die Schwachstelle in Drupal Core im Versionszweig 8.x und stellt die Version 8.1.7 als Sicherheitsupdate bereit. Der Versionszweig 8.0.x wird nicht mehr unterstützt. Für Fedora 23 und 24 sowie Fedora EPEL 7 stehen Sicherheitsupdates in Form der Pakete php-guzzlehttp-guzzle6-6.2.1-1.fc23, php-guzzlehttp-guzzle6-6.2.1-1.fc24, php-guzzlehttp-guzzle-5.3.1-1.el7, php-guzzlehttp-guzzle-5.3.1-1.fc23 und php-guzzlehttp-guzzle-5.3.1-1.fc24 im Status 'pending' bereit. Workaround: Bis die Sicherheitsupdates eingespielt werden können, können Proxy-Anfragen blockiert werden, bevor sie die Anwendung erreichen. Dies kann in der Firewall oder im Webserver selbst geschehen. Für gängige Konfigurationen finden sich Anleitungen in der Referenz zu 'httpoxy'. Patch: Drupal Security Advisory SA-CORE-2016-003 https://www.drupal.org/SA-CORE-2016-003

Patch:

Fedora Security Update FEDORA-2016-4e7db3d437 (Fedora 24,
php-guzzlehttp-guzzle6-6.2.1-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-4e7db3d437

Patch:

Fedora Security Update FEDORA-2016-9c8cf5912c (Fedora 23,
php-guzzlehttp-guzzle6-6.2.1-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-9c8cf5912c

Patch:

Fedora Security Update FEDORA-2016-aef8a45afe (Fedora 24,
php-guzzlehttp-guzzle-5.3.1-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-aef8a45afe

Patch:

Fedora Security Update FEDORA-2016-e2c8f5f95a (Fedora 23,
php-guzzlehttp-guzzle-5.3.1-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-e2c8f5f95a

Patch:

Fedora Security Update FEDORA-EPEL-2016-3a667cc289 (Fedora EPEL 7,
php-guzzlehttp-guzzle-5.3.1-1)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-3a667cc289

Patch:

TYPO3 Security Bulletin TYPO3-CORE-SA-2016-019

https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-019/

Patch:

Fedora Security Update FEDORA-2016-340e361b90 (Fedora 23, golang-1.5.4-2)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-340e361b90

Patch:

Fedora Security Update FEDORA-2016-ea5e284d34 (Fedora 24, golang-1.6.3-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-ea5e284d34

Patch:

Oracle Linux Security Advisory ELSA-2016-1538

http://linux.oracle.com/errata/ELSA-2016-1538.html

Patch:

Red Hat Security Advisory RHSA-2016:1538

http://rhn.redhat.com/errata/RHSA-2016-1538.html

Patch:

Fedora Security Update FEDORA-2016-2c324d0670 (Fedora 24, python3-3.5.1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-2c324d0670

Patch:

Fedora Security Update FEDORA-2016-604616dc33 (Fedora 23, python3-3.4.3)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-604616dc33

Patch:

Fedora Security Update FEDORA-2016-663608c5bb (Fedora 25, python-2.7.12)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-663608c5bb

Patch:

Fedora Security Update FEDORA-2016-970edb82d4 (Fedora 23, python-2.7.11)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-970edb82d4

Patch:

Fedora Security Update FEDORA-2016-9fd814a7f2 (Fedora 24, python-2.7.12)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-9fd814a7f2

Patch:

Fedora Security Update FEDORA-2016-c843c68c77 (Fedora 25, python3-3.5.1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-c843c68c77

Patch:

Fedora Security Update FEDORA-EPEL-2016-2c0e0e64b2 (Fedora EPEL 7,
python34-3.4.3)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-2c0e0e64b2

CVE-2016-1000110: Schwachstelle in Python CGIHandler ermöglicht Umgehen von
Sicherheitsvorkehrungen

Der Python CGIHandler verwendet aus dem ‘Proxy-Request-Header’
bereitgestellte Daten für die HTTP_PROXY-Umgebungsvariablen. Dadurch ist es
möglich, mittels eines präparierten Proxy-Headers in einem HTTP-Request, den
ausgehenden HTTP-Verkehr einer Anwendung auf einen beliebigen Proxy-Server
umzuleiten (‘httpoxy’-Problem), wodurch sensitive Informationen ausgespäht,
fehlerhafte Antworten gesendet und Verbindungen dauerhaft blockiert
(Denial-of-Service) werden können.

CVE-2016-5386: Schwachstelle in Golang ermöglicht Umgehen von
Sicherheitsvorkehrungen

Das Paket ‘net/http’ in Google Go (Golang) bis Version 1.6 versucht nicht,
einen durch RFC 3875 Sektion 4.1.18 bedingten Namensraumkonflikt zu
adressieren und schützt deshalb CGI-Anwendungen nicht vor nicht
vertrauenswürdigen Client-Daten in der HTTP_PROXY-Umgebungsvariablen.
Dadurch ist es mit Hilfe eines präparierten Proxy-Headers in einer
HTTP-Anfrage möglich, den ausgehenden HTTP-Verkehr einer CGI-Anwendung auf
einen beliebigen Proxy-Server umzuleiten. Das Problem ist unter dem Namen
‘httpoxy’ bekannt.

CVE-2016-5385: Schwachstelle in PHP ermöglicht Umgehen von
Sicherheitsvorkehrungen

PHP bis einschließlich Version 7.0.8 versucht nicht, einen durch RFC 3875
Sektion 4.1.18 bedingten Namensraumkonflikt zu adressieren und schützt
deshalb Anwendungen nicht vor nicht vertrauenswürdigen Client-Daten in der
HTTP_PROXY-Umgebungsvariablen. Dadurch ist es mit Hilfe eines präparierten
Proxy-Headers in einer HTTP-Anfrage – beispielsweise mittels einer
Anwendung, die einen getenv(‘HTTP_PROXY’) Aufruf tätigt oder durch eine
bestimmte CGI-Konfiguration von PHP – möglich, den ausgehenden HTTP-Verkehr
einer Anwendung auf einen beliebigen Proxy-Server umzuleiten. Das Problem
ist unter dem Namen ‘httpoxy’ bekannt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1157/

Drupal Security Advisory SA-CORE-2016-003:
https://www.drupal.org/SA-CORE-2016-003

Fedora Security Update FEDORA-2016-4e7db3d437 (Fedora 24,
php-guzzlehttp-guzzle6-6.2.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-4e7db3d437

Fedora Security Update FEDORA-2016-9c8cf5912c (Fedora 23,
php-guzzlehttp-guzzle6-6.2.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-9c8cf5912c

Fedora Security Update FEDORA-2016-aef8a45afe (Fedora 24,
php-guzzlehttp-guzzle-5.3.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-aef8a45afe

Fedora Security Update FEDORA-2016-e2c8f5f95a (Fedora 23,
php-guzzlehttp-guzzle-5.3.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-e2c8f5f95a

Fedora Security Update FEDORA-EPEL-2016-3a667cc289 (Fedora EPEL 7,
php-guzzlehttp-guzzle-5.3.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-3a667cc289

TYPO3 Security Bulletin TYPO3-CORE-SA-2016-019:
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-019/

“httpoxy” – Schwachstellen für CGI-Anwendungen (PHP, Go, Python):
https://httpoxy.org/

Schwachstelle CVE-2016-1000110 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1000110

Schwachstelle CVE-2016-5385 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5385

Schwachstelle CVE-2016-5386 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5386

Fedora Security Update FEDORA-2016-340e361b90 (Fedora 23, golang-1.5.4-2):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-340e361b90

Fedora Security Update FEDORA-2016-ea5e284d34 (Fedora 24, golang-1.6.3-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-ea5e284d34

Oracle Linux Security Advisory ELSA-2016-1538:
http://linux.oracle.com/errata/ELSA-2016-1538.html

Red Hat Security Advisory RHSA-2016:1538:
http://rhn.redhat.com/errata/RHSA-2016-1538.html

Fedora Security Update FEDORA-2016-2c324d0670 (Fedora 24, python3-3.5.1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-2c324d0670

Fedora Security Update FEDORA-2016-604616dc33 (Fedora 23, python3-3.4.3):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-604616dc33

Fedora Security Update FEDORA-2016-663608c5bb (Fedora 25, python-2.7.12):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-663608c5bb

Fedora Security Update FEDORA-2016-970edb82d4 (Fedora 23, python-2.7.11):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-970edb82d4

Fedora Security Update FEDORA-2016-9fd814a7f2 (Fedora 24, python-2.7.12):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-9fd814a7f2

Fedora Security Update FEDORA-2016-c843c68c77 (Fedora 25, python3-3.5.1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-c843c68c77

Fedora Security Update FEDORA-EPEL-2016-2c0e0e64b2 (Fedora EPEL 7,
python34-3.4.3):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-2c0e0e64b2

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

UPDATE: DFN-CERT-2016-1157 PHP, TYPO3, Drupal, Golang: Eine Schwachstelle ermöglicht HTTP-Proxy-Umleitungen [Linux][Fedora][RedHat][Unix][Solaris][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (03.08.2016):
Für Für Oracle Linux 7 stehen Sicherheitsupdates zur Behebung der
Schwachstelle CVE-2016-5386 in Golang bereit.
Version 3 (03.08.2016):
Für die Red Hat Enterprise Linux 7 Produkte Server, Server AUS 7.2 und
Server EUS 7.2 stehen zur Behebung der Schwachstelle CVE-2016-5386
Sicherheitsupdates für Golang bereit.
Version 2 (21.07.2016):
Für Fedora 23 und 24 stehen Sicherheitsupdates für Golang in Form der
Pakete golang-1.5.4-2.fc23 und golang-1.6.3-1.fc24 im Status ‘testing’
bereit. Für Golang wurde für das unter dem Namen ‘httpoxy’ bekannte
Problem die CVE-2016-5386 vergeben, weshalb diese hier mit aufgenommen
wurde.
Version 1 (19.07.2016):
Neues Advisory

Betroffene Software:

Drupal Core < 8.1.7 Google Go (golang) <= 1.6.2 PHP <= 7.0.8 TYPO3 >= 8.0.0
TYPO3 <= 8.2.0 Betroffene Plattformen: Drupal Core 8.x TYPO3 Oracle Linux 7 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server 7.2 AUS Red Hat Enterprise Linux Server 7.2 EUS Red Hat Fedora 23 Red Hat Fedora 24 Extra Packages for Red Hat Enterprise Linux 7 Ein entfernter, nicht authentisierter Angreifer kann eine durch RFC 3875 Sektion 4.1.18 (The Common Gateway Interface, CGI) bedingte Schwachstelle in der PHP-Bibliothek Guzzle in PHP bis Version 7.0.8 ausnutzen, um mit einem präparierten Proxy-Header in einem HTTP-Request den ausgehenden HTTP-Verkehr einer Anwendung auf einen beliebigen, schädlichen Proxy-Server umzuleiten ("httpoxy"-Problem). Während für Mitigationen des "httpoxy"-Problems für den Apache Software Foundation HTTP-Server die CVE-2016-5387 vergeben ist, wurde für PHP eine eigene CVE zugewiesen. TYPO3 informiert darüber, dass TYPO3 CMS in den Versionen 8.0.0 - 8.2.0 von der Schwachstelle betroffen ist und stellt die Version 8.2.1 als Sicherheitsupdate zur Verfügung, welches zügig installiert werden sollte. Das Drupal Security Team informiert über die Schwachstelle in Drupal Core im Versionszweig 8.x und stellt die Version 8.1.7 als Sicherheitsupdate bereit. Der Versionszweig 8.0.x wird nicht mehr unterstützt. Für Fedora 23 und 24 sowie Fedora EPEL 7 stehen Sicherheitsupdates in Form der Pakete php-guzzlehttp-guzzle6-6.2.1-1.fc23, php-guzzlehttp-guzzle6-6.2.1-1.fc24, php-guzzlehttp-guzzle-5.3.1-1.el7, php-guzzlehttp-guzzle-5.3.1-1.fc23 und php-guzzlehttp-guzzle-5.3.1-1.fc24 im Status 'pending' bereit. Workaround: Bis die Sicherheitsupdates eingespielt werden können, können Proxy-Anfragen blockiert werden, bevor sie die Anwendung erreichen. Dies kann in der Firewall oder im Webserver selbst geschehen. Für gängige Konfigurationen finden sich Anleitungen in der Referenz zu 'httpoxy'. Patch: Drupal Security Advisory SA-CORE-2016-003 https://www.drupal.org/SA-CORE-2016-003

Patch:

Fedora Security Update FEDORA-2016-4e7db3d437 (Fedora 24,
php-guzzlehttp-guzzle6-6.2.1-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-4e7db3d437

Patch:

Fedora Security Update FEDORA-2016-9c8cf5912c (Fedora 23,
php-guzzlehttp-guzzle6-6.2.1-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-9c8cf5912c

Patch:

Fedora Security Update FEDORA-2016-aef8a45afe (Fedora 24,
php-guzzlehttp-guzzle-5.3.1-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-aef8a45afe

Patch:

Fedora Security Update FEDORA-2016-e2c8f5f95a (Fedora 23,
php-guzzlehttp-guzzle-5.3.1-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-e2c8f5f95a

Patch:

Fedora Security Update FEDORA-EPEL-2016-3a667cc289 (Fedora EPEL 7,
php-guzzlehttp-guzzle-5.3.1-1)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-3a667cc289

Patch:

TYPO3 Security Bulletin TYPO3-CORE-SA-2016-019

https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-019/

Patch:

Fedora Security Update FEDORA-2016-340e361b90 (Fedora 23, golang-1.5.4-2)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-340e361b90

Patch:

Fedora Security Update FEDORA-2016-ea5e284d34 (Fedora 24, golang-1.6.3-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-ea5e284d34

Patch:

Oracle Linux Security Advisory ELSA-2016-1538

http://linux.oracle.com/errata/ELSA-2016-1538.html

Patch:

Red Hat Security Advisory RHSA-2016:1538

http://rhn.redhat.com/errata/RHSA-2016-1538.html

CVE-2016-5386: Schwachstelle in Golang ermöglicht Umgehen von
Sicherheitsvorkehrungen

Das Paket ‘net/http’ in Google Go (Golang) bis Version 1.6 versucht nicht,
einen durch RFC 3875 Sektion 4.1.18 bedingten Namensraumkonflikt zu
adressieren und schützt deshalb CGI-Anwendungen nicht vor nicht
vertrauenswürdigen Client-Daten in der HTTP_PROXY-Umgebungsvariablen.
Dadurch ist es mit Hilfe eines präparierten Proxy-Headers in einer
HTTP-Anfrage möglich, den ausgehenden HTTP-Verkehr einer CGI-Anwendung auf
einen beliebigen Proxy-Server umzuleiten. Das Problem ist unter dem Namen
‘httpoxy’ bekannt.

CVE-2016-5385: Schwachstelle in PHP ermöglicht Umgehen von
Sicherheitsvorkehrungen

PHP bis einschließlich Version 7.0.8 versucht nicht, einen durch RFC 3875
Sektion 4.1.18 bedingten Namensraumkonflikt zu adressieren und schützt
deshalb Anwendungen nicht vor nicht vertrauenswürdigen Client-Daten in der
HTTP_PROXY-Umgebungsvariablen. Dadurch ist es mit Hilfe eines präparierten
Proxy-Headers in einer HTTP-Anfrage – beispielsweise mittels einer
Anwendung, die einen getenv(‘HTTP_PROXY’) Aufruf tätigt oder durch eine
bestimmte CGI-Konfiguration von PHP – möglich, den ausgehenden HTTP-Verkehr
einer Anwendung auf einen beliebigen Proxy-Server umzuleiten. Das Problem
ist unter dem Namen ‘httpoxy’ bekannt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1157/

Drupal Security Advisory SA-CORE-2016-003:
https://www.drupal.org/SA-CORE-2016-003

Fedora Security Update FEDORA-2016-4e7db3d437 (Fedora 24,
php-guzzlehttp-guzzle6-6.2.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-4e7db3d437

Fedora Security Update FEDORA-2016-9c8cf5912c (Fedora 23,
php-guzzlehttp-guzzle6-6.2.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-9c8cf5912c

Fedora Security Update FEDORA-2016-aef8a45afe (Fedora 24,
php-guzzlehttp-guzzle-5.3.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-aef8a45afe

Fedora Security Update FEDORA-2016-e2c8f5f95a (Fedora 23,
php-guzzlehttp-guzzle-5.3.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-e2c8f5f95a

Fedora Security Update FEDORA-EPEL-2016-3a667cc289 (Fedora EPEL 7,
php-guzzlehttp-guzzle-5.3.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-3a667cc289

TYPO3 Security Bulletin TYPO3-CORE-SA-2016-019:
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-019/

“httpoxy” – Schwachstellen für CGI-Anwendungen (PHP, Go, Python):
https://httpoxy.org/

Schwachstelle CVE-2016-5385 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5385

Schwachstelle CVE-2016-5386 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5386

Fedora Security Update FEDORA-2016-340e361b90 (Fedora 23, golang-1.5.4-2):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-340e361b90

Fedora Security Update FEDORA-2016-ea5e284d34 (Fedora 24, golang-1.6.3-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-ea5e284d34

Oracle Linux Security Advisory ELSA-2016-1538:
http://linux.oracle.com/errata/ELSA-2016-1538.html

Red Hat Security Advisory RHSA-2016:1538:
http://rhn.redhat.com/errata/RHSA-2016-1538.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

UPDATE: DFN-CERT-2016-1157 PHP, TYPO3, Drupal, Golang: Eine Schwachstelle ermöglicht HTTP-Proxy-Umleitungen [Linux][Fedora][RedHat][Unix][Solaris][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (03.08.2016):
Für die Red Hat Enterprise Linux 7 Produkte Server, Server AUS 7.2 und
Server EUS 7.2 stehen zur Behebung der Schwachstelle CVE-2016-5386
Sicherheitsupdates für Golang bereit.
Version 2 (21.07.2016):
Für Fedora 23 und 24 stehen Sicherheitsupdates für Golang in Form der
Pakete golang-1.5.4-2.fc23 und golang-1.6.3-1.fc24 im Status ‘testing’
bereit. Für Golang wurde für das unter dem Namen ‘httpoxy’ bekannte
Problem die CVE-2016-5386 vergeben, weshalb diese hier mit aufgenommen
wurde.
Version 1 (19.07.2016):
Neues Advisory

Betroffene Software:

Drupal Core < 8.1.7 Google Go (golang) <= 1.6.2 PHP <= 7.0.8 TYPO3 >= 8.0.0
TYPO3 <= 8.2.0 Betroffene Plattformen: Drupal Core 8.x TYPO3 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server 7.2 AUS Red Hat Enterprise Linux Server 7.2 EUS Red Hat Fedora 23 Red Hat Fedora 24 Extra Packages for Red Hat Enterprise Linux 7 Ein entfernter, nicht authentisierter Angreifer kann eine durch RFC 3875 Sektion 4.1.18 (The Common Gateway Interface, CGI) bedingte Schwachstelle in der PHP-Bibliothek Guzzle in PHP bis Version 7.0.8 ausnutzen, um mit einem präparierten Proxy-Header in einem HTTP-Request den ausgehenden HTTP-Verkehr einer Anwendung auf einen beliebigen, schädlichen Proxy-Server umzuleiten ("httpoxy"-Problem). Während für Mitigationen des "httpoxy"-Problems für den Apache Software Foundation HTTP-Server die CVE-2016-5387 vergeben ist, wurde für PHP eine eigene CVE zugewiesen. TYPO3 informiert darüber, dass TYPO3 CMS in den Versionen 8.0.0 - 8.2.0 von der Schwachstelle betroffen ist und stellt die Version 8.2.1 als Sicherheitsupdate zur Verfügung, welches zügig installiert werden sollte. Das Drupal Security Team informiert über die Schwachstelle in Drupal Core im Versionszweig 8.x und stellt die Version 8.1.7 als Sicherheitsupdate bereit. Der Versionszweig 8.0.x wird nicht mehr unterstützt. Für Fedora 23 und 24 sowie Fedora EPEL 7 stehen Sicherheitsupdates in Form der Pakete php-guzzlehttp-guzzle6-6.2.1-1.fc23, php-guzzlehttp-guzzle6-6.2.1-1.fc24, php-guzzlehttp-guzzle-5.3.1-1.el7, php-guzzlehttp-guzzle-5.3.1-1.fc23 und php-guzzlehttp-guzzle-5.3.1-1.fc24 im Status 'pending' bereit. Workaround: Bis die Sicherheitsupdates eingespielt werden können, können Proxy-Anfragen blockiert werden, bevor sie die Anwendung erreichen. Dies kann in der Firewall oder im Webserver selbst geschehen. Für gängige Konfigurationen finden sich Anleitungen in der Referenz zu 'httpoxy'. Patch: Drupal Security Advisory SA-CORE-2016-003 https://www.drupal.org/SA-CORE-2016-003

Patch:

Fedora Security Update FEDORA-2016-4e7db3d437 (Fedora 24,
php-guzzlehttp-guzzle6-6.2.1-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-4e7db3d437

Patch:

Fedora Security Update FEDORA-2016-9c8cf5912c (Fedora 23,
php-guzzlehttp-guzzle6-6.2.1-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-9c8cf5912c

Patch:

Fedora Security Update FEDORA-2016-aef8a45afe (Fedora 24,
php-guzzlehttp-guzzle-5.3.1-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-aef8a45afe

Patch:

Fedora Security Update FEDORA-2016-e2c8f5f95a (Fedora 23,
php-guzzlehttp-guzzle-5.3.1-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-e2c8f5f95a

Patch:

Fedora Security Update FEDORA-EPEL-2016-3a667cc289 (Fedora EPEL 7,
php-guzzlehttp-guzzle-5.3.1-1)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-3a667cc289

Patch:

TYPO3 Security Bulletin TYPO3-CORE-SA-2016-019

https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-019/

Patch:

Fedora Security Update FEDORA-2016-340e361b90 (Fedora 23, golang-1.5.4-2)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-340e361b90

Patch:

Fedora Security Update FEDORA-2016-ea5e284d34 (Fedora 24, golang-1.6.3-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-ea5e284d34

Patch:

Red Hat Security Advisory RHSA-2016:1538

http://rhn.redhat.com/errata/RHSA-2016-1538.html

CVE-2016-5386: Schwachstelle in Golang ermöglicht Umgehen von
Sicherheitsvorkehrungen

Das Paket ‘net/http’ in Google Go (Golang) bis Version 1.6 versucht nicht,
einen durch RFC 3875 Sektion 4.1.18 bedingten Namensraumkonflikt zu
adressieren und schützt deshalb CGI-Anwendungen nicht vor nicht
vertrauenswürdigen Client-Daten in der HTTP_PROXY-Umgebungsvariablen.
Dadurch ist es mit Hilfe eines präparierten Proxy-Headers in einer
HTTP-Anfrage möglich, den ausgehenden HTTP-Verkehr einer CGI-Anwendung auf
einen beliebigen Proxy-Server umzuleiten. Das Problem ist unter dem Namen
‘httpoxy’ bekannt.

CVE-2016-5385: Schwachstelle in PHP ermöglicht Umgehen von
Sicherheitsvorkehrungen

PHP bis einschließlich Version 7.0.8 versucht nicht, einen durch RFC 3875
Sektion 4.1.18 bedingten Namensraumkonflikt zu adressieren und schützt
deshalb Anwendungen nicht vor nicht vertrauenswürdigen Client-Daten in der
HTTP_PROXY-Umgebungsvariablen. Dadurch ist es mit Hilfe eines präparierten
Proxy-Headers in einer HTTP-Anfrage – beispielsweise mittels einer
Anwendung, die einen getenv(‘HTTP_PROXY’) Aufruf tätigt oder durch eine
bestimmte CGI-Konfiguration von PHP – möglich, den ausgehenden HTTP-Verkehr
einer Anwendung auf einen beliebigen Proxy-Server umzuleiten. Das Problem
ist unter dem Namen ‘httpoxy’ bekannt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1157/

Drupal Security Advisory SA-CORE-2016-003:
https://www.drupal.org/SA-CORE-2016-003

Fedora Security Update FEDORA-2016-4e7db3d437 (Fedora 24,
php-guzzlehttp-guzzle6-6.2.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-4e7db3d437

Fedora Security Update FEDORA-2016-9c8cf5912c (Fedora 23,
php-guzzlehttp-guzzle6-6.2.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-9c8cf5912c

Fedora Security Update FEDORA-2016-aef8a45afe (Fedora 24,
php-guzzlehttp-guzzle-5.3.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-aef8a45afe

Fedora Security Update FEDORA-2016-e2c8f5f95a (Fedora 23,
php-guzzlehttp-guzzle-5.3.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-e2c8f5f95a

Fedora Security Update FEDORA-EPEL-2016-3a667cc289 (Fedora EPEL 7,
php-guzzlehttp-guzzle-5.3.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-3a667cc289

TYPO3 Security Bulletin TYPO3-CORE-SA-2016-019:
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-019/

“httpoxy” – Schwachstellen für CGI-Anwendungen (PHP, Go, Python):
https://httpoxy.org/

Schwachstelle CVE-2016-5385 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5385

Schwachstelle CVE-2016-5386 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5386

Fedora Security Update FEDORA-2016-340e361b90 (Fedora 23, golang-1.5.4-2):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-340e361b90

Fedora Security Update FEDORA-2016-ea5e284d34 (Fedora 24, golang-1.6.3-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-ea5e284d34

Red Hat Security Advisory RHSA-2016:1538:
http://rhn.redhat.com/errata/RHSA-2016-1538.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben