Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (20.01.2017):
Juniper informiert in einer Aktualisierung des Sicherheitshinweises
JSA10774 darüber, dass ein Sicherheitsupdate nun verfügbar ist. NSM
Appliance OS gzip Upgrade Package v3 basierend auf CentOS 6 enthält alle
Aktualisierungen für die Third Party Software-Pakete, um die aufgelisteten
Schwachstellen zu beheben.
Version 1 (12.01.2017):
Neues Advisory

Betroffene Software:

Juniper Network and Security Manager Appliance OS

Betroffene Plattformen:

Juniper Network and Security Manager Appliance NSM3000
Juniper Network and Security Manager Appliance NSM4000
Juniper Network and Security Manager Appliance NSMXpress

Mehrere Schwachstellen in OpenSSH haben Auswirkungen auf das Juniper Network
and Security Manager (NSM) Appliance Betriebssystem. Die
OpenSSH-Schwachstellen erlauben einem lokalen, nicht authentifizierten
Angreifer das Erlangen von Administrator- und Benutzerrechten, das Ausführen
beliebigen Programmcodes und das Bewirken eines Denial-of-Service
(DoS)-Zustandes. Ein entfernter, nicht authentifizier Angreifer kann zudem
Sicherheitsvorkehrungen umgehen und Informationen ausspähen.

Juniper gibt an, dass die NSM Appliances NSM3000, NSM4000 und NSMXpress
verwundbar sind. Die Schwachstellen werden in dem NSM Appliance Upgrade
Package v3, das auf CentOS 6 basiert, behoben. Dabei handelt es sich um ein
‘pending Release’, welches vor Ende Januar 2017 erwartet wird.

Workaround:

Bis zur Aktivierung des Sicherheitsupdates empfiehlt Juniper den Zugriff auf
die NSM Appliance über Zugriffslisten und Firewall-Regel auf
vertrauenswürdige Hosts einzuschränken.

Patch:

Juniper Security Bulletin JSA10774

http://kb.juniper.net/index?page=content&id=JSA10774&actp=RSS

CVE-2015-8325: Schwachstelle in OpenSSH ermöglicht das Erlangen von
Administratorrechten

Wenn PAM so konfiguriert ist, dass benutzerdefinierte Umgebungsvariablen
gelesen werden und zusätzlich die Option ‘UseLogin=yes’ in der
sshd_config-Datei gesetzt ist, kann ein lokaler, nicht authentisierter
Angreifer durch Setzen von ‘LD_PRELOAD’ oder ähnlichen Umgebungsvariablen
/bin/login Administratorrechte erlangen. Die Option ‘UseLogin’ ist bei
vielen Distributionen in der Standardeinstellung auf ‘no’ gesetzt.

CVE-2016-3115: Schwachstelle in OpenSSH ermöglicht u.a. das Ausspähen von
Informationen

Bei der Einrichtung der Verbindung zu einer entfernten graphischen
Benutzeroberfläche über SSH (X11-Forwarding) akzeptiert das Programm ‘sshd’
einen X11-Berechtigungsnachweis (X11 Authentication Credential) vom
Klienten. Dieser Berechtigungsnachweis wird an ‘xauth’ weitergegeben, so
dass die Berechtigung für weitere, im Laufe der Sitzung aufgerufene
Programme zur Verfügung steht. Der Inhalt der Berechtigungsnachweis-Daten
wird nicht geprüft, so dass Kontrollzeichen wie Zeilenumbrüche eingefügt
werden können.
Ein entfernter, nicht authentifizierter Angreifer kann durch speziell
präparierte Berechtigungsnachweise, die er zum Aufbau einer Verbindung zu
einer X11-Oberfläche als Parameter übergibt, beliebigen Programmcode an
‘xauth’ übergeben. Dadurch kann er Lese- und Schreibzugriff auf alle Dateien
des angemeldeten Benutzers erhalten, sich mit lokalen Ports verbinden und
weitere Angriffe auf ‘xauth’ ausführen.

CVE-2016-0778: Schwachstelle in OpenSSH ermöglicht das Ausspähen von
Informationen

Es existiert eine Schwachstelle im OpenSSH Client in experimentellem
Programmcode für eine Roaming-Funktionalität zum zeitweisen Unterbrechen
einer Sitzung, die dazu führt, dass bei einer Verbindung mit einem
bösartigen SSH-Server ein Pufferüberlauf ausgelöst werden kann, der die
Offenlegung von Dateideskriptoren zur Folge hat. Das Roaming ist als
Voreinstellung eingeschaltet, so dass jeder Client von der Schwachstelle
betroffen ist. Allerdings müssen weitere, nicht standardmäßige Optionen wie
“ProxyCommand”, “ForwardAgent” oder “ForwardX11” benutzt werden. Ein
entfernter, nicht authentisierter Angreifer kann Informationen ausspähen.

CVE-2016-0777: Schwachstelle in OpenSSH ermöglicht das Ausspähen von
Informationen

Es existiert eine Schwachstelle im OpenSSH Client in experimentellem
Programmcode für eine Roaming-Funktionalität zum zeitweisen Unterbrechen
einer Sitzung, welche dazu führt, dass bei einer Verbindung mit einem
bösartigen SSH-Server Schlüsselmaterial des Clients offengelegt werden kann.
Das Roaming ist als Voreinstellung eingeschaltet, so dass jeder Client von
der Schwachstelle betroffen ist. Ein entfernter, nicht authentisierter
Angreifer kann Informationen ausspähen.

CVE-2015-6565: Schwachstelle in OpenSSH ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle in OpenSSH 6.8 und 6.9 führt dazu, dass die
Schreibberechtigungen für Terminaleingabegeräte (TTY) fälschlicherweise auf
global gesetzt werden. Ein lokaler, nicht authentifizierter Angreifer ist
dadurch in der Lage, beliebige Nachrichten an angemeldete Benutzer zu
senden, zum Beispiel auch eine Terminal-Escape-Sequenz, wodurch ein
Denial-of-Service-Zustand herbeigeführt wird.

CVE-2015-6564: Schwachstelle in OpenSSH Portable ermöglicht Ausführen
beliebigen Programmcodes

Es existiert eine Use-after-free-Schwachstelle in OpenSSH Portable in Bezug
auf die Unterstützung von Pluggable Authentication Modulen (PAM), die es
einem lokalen, nicht authentisierten Angreifer ermöglicht den Prozess der
Vor-Authentisierung zu kompromittieren und dadurch freigegebenen Speicher
für die Ausführung beliebigen Programmcodes zu verwenden.

CVE-2015-6563: Schwachstelle in OpenSSH Portable ermöglicht Erlangen von
Benutzerrechten

Es existiert eine Schwachstelle bei der Trennung von Privilegien in OpenSSH
Portable in Bezug auf die Unterstützung von Pluggable Authentication Modulen
(PAM), welche es einem Angreifer ermöglicht den Prozess der
Vor-Authentisierung zu kompromittieren und beliebigen Programmcode
auszuführen, um dadurch die Identität anderer Benutzer zu übernehmen. Um die
Schwachstelle erfolgreich auszunutzen, muss ein Angreifer ein gültiges
Benutzerkonto auf einem Zielsystem besitzen. Ein lokaler, nicht
authentifizierter Angreifer kann die Rechte anderer Benutzer erlangen.

CVE-2015-5600: Schwachstelle in OpenSSH erlaubt das Umgehen von
Sicherheitsmechanismen

Eine Schwachstelle in OpenSSH basiert auf einer fehlerhaften Anwendung der
Beschränkung der Anzahl von Anmeldeversuchen, die in der Konfigurationsdatei
sshd_config mit der Option “MaxAuthTries” standardmäßig auf 6 Versuche
eingestellt ist. Die Benutzung des Clients mit der Option
“-oKbdInteractiveDevices=” und einer beliebigen Anzahl von Eingabemethoden
wird vom Server bereitwillig akzeptiert und für jede Methode die
Eingabeaufforderung für das Passwort gestartet. In Folge der Schwachstelle
ist es möglich, beliebig viele Passwortabfragen zu generieren bis die
Zeitspanne der “LoginGraceTime”, die üblicherweise 120 Sekunden beträgt,
erreicht ist. Dadurch wird die Effizienz eines Brute-Force-Angriffs, um an
das Passwort eines autorisierten Benutzers zu gelangen, erheblich
verbessert. Vorkonfiguriert ist “KbdInteractiveAuthentication” Server-seitig
in der Regel auf die selbe Einstellung wie
“ChallengeResponseAuthentication”, d.h. sie ist auf “no” gestellt. Zu
beachten ist allerdings, dass das Fehlen oder Auskommentieren der Option
“ChallengeResponseAuthentication” nicht das Deaktivieren der
“ChallengeResponseAuthentication” bedeutet, denn der Standardwert dieser
Option ist “yes”. Die Schwachstelle betrifft also nur Systeme, in denen die
Standardkonfiguration von OpenSSH verändert wurde. Weiterhin schränkt die
Benutzung von PAM als Eingabemethode die Effizienz dieses Angriffs wieder
ein, da PAM selber Verzögerungen zwischen zwei Passworteingaben erzwingen
kann. Ein entfernter, nicht authentisierter Angreifer kann
Sicherheitsvorkehrungen umgehen und die Effizienz eines Brute-Force-Angriffs
erhöhen.

CVE-2015-5352: Schwachstelle in OpenSSH ermöglicht Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle in der Funktion “x11_open_helper” in channels.c in ssh(1)
in OpenSSH vor Version 6.9 erlaubt die XSECURITY-Beschränkungen unter
bestimmten Bedingungen zu umgehen, wenn nämlich der ForwardX11Trusted Modus
nicht verwendet wird. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle ausnutzen, um Sicherheitsvorkehrungen zu umgehen und in
der Folge möglicherweise Informationen auszuspähen oder einen
Denial-of-Service (DoS)-Zustand herbeizuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0059/

Schwachstelle CVE-2015-5352 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5352

Schwachstelle CVE-2015-5600 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5600

Schwachstelle CVE-2015-6563 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6563

Schwachstelle CVE-2015-6564 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6564

Schwachstelle CVE-2015-6565 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6565

Schwachstelle CVE-2016-0777 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0777

Schwachstelle CVE-2016-0778 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0778

Schwachstelle CVE-2016-3115 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3115

Schwachstelle CVE-2015-8325 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8325

Juniper Security Bulletin JSA10774:
http://kb.juniper.net/index?page=content&id=JSA10774&actp=RSS

Juniper Security Bulletin JSA10774:
http://kb.juniper.net/index?page=content&id=JSA10774&actp=RSS

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.