Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (10.03.2017):
ür Fedora 25 steht ein aktualisiertes Sicherheitsupdate für RabbitMQ im
Status ‘testing’ bereit. Die zuvor veröffentlichte Version
‘rabbitmq-server-3.6.6-1.fc25’ ist in den Status ‘obsolete’ versetzt
worden, die Referenz wurde deshalb entfernt.
Version 3 (02.03.2017):
Für Fedora 25 steht ein Sicherheitsupdate für RabbitMQ auf Version 3.6.6
im Status ‘testing’ bereit, um diese Schwachstelle zu beheben.
Version 2 (30.01.2017):
Für openSUSE Leap 42.2 steht ein Sicherheitsupdate bereit, um die
Schwachstelle zu beheben.
Version 1 (13.01.2017):
Neues Advisory

Betroffene Software:

RabbitMQ <= 3.5.7 RabbitMQ <= 3.6.5 Betroffene Plattformen: Debian Linux 8.6 Jessie Debian Linux 9.0 Stretch openSUSE Leap 42.2 Red Hat Fedora 25 Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle dafür ausnutzen, die Sicherheitsvorkehrung der Anmeldung mit Benutzername / Passwort zu umgehen und dadurch Benutzerrechte zu erlangen. Für die stabile Distribution Debian Jessie steht ein Backport-Sicherheitsupdate bereit. Für Debian Stretch (testing) wird ein Sicherheitsupdate für RabbitMQ auf Version 3.6.6 zur Verfügung gestellt. Patch: Debian Security Advisory DSA-3761-1 https://www.debian.org/security/2017/dsa-3761

Patch:

openSUSE Security Advisory openSUSE-SU-2017:0306-1

http://lists.opensuse.org/opensuse-updates/2017-01/msg00151.html

Patch:

Fedora Security Update FEDORA-2017-534e23bad9 (Fedora 25,
rabbitmq-server-3.6.6-2.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-534e23bad9

CVE-2016-9877: Schwachstelle in RabbitMQ ermöglicht Erlangen von
Benutzerrechten

In Pivotal RabbitMQ 3.x vor Version 3.5.8 und 3.6.x vor 3.6.6 sowie RabbitMQ
for PCF 1.5.x vor 1.5.20, 1.6.x vor 1.6.12 und 1.7.x vor 1.7.7 existiert
eine Schwachstelle. Die MQTT (MQ Telemetry Transport)
Verbindungsauthentisierung mit Benutzername / Passwort ist erfolgreich, wenn
ein existierender Benutzername übermittelt, aber das Passwort bei der
Verbindungsanfrage ausgelassen wird. Verbindungen mit TLS und
Client-Zertifikat sind nicht betroffen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0066/

Schwachstelle CVE-2016-9877 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9877

Debian Security Advisory DSA-3761-1:
https://www.debian.org/security/2017/dsa-3761

openSUSE Security Advisory openSUSE-SU-2017:0306-1:
http://lists.opensuse.org/opensuse-updates/2017-01/msg00151.html

Fedora Security Update FEDORA-2017-534e23bad9 (Fedora 25,
rabbitmq-server-3.6.6-2.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-534e23bad9

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (02.03.2017):
Für Fedora 25 steht ein Sicherheitsupdate für RabbitMQ auf Version 3.6.6
im Status ‘testing’ bereit, um diese Schwachstelle zu beheben.
Version 2 (30.01.2017):
Für openSUSE Leap 42.2 steht ein Sicherheitsupdate bereit, um die
Schwachstelle zu beheben.
Version 1 (13.01.2017):
Neues Advisory

Betroffene Software:

RabbitMQ <= 3.5.7 RabbitMQ <= 3.6.5 Betroffene Plattformen: Debian Linux 8.6 Jessie Debian Linux 9.0 Stretch openSUSE Leap 42.2 Red Hat Fedora 25 Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle dafür ausnutzen, die Sicherheitsvorkehrung der Anmeldung mit Benutzername / Passwort zu umgehen und dadurch Benutzerrechte zu erlangen. Für die stabile Distribution Debian Jessie steht ein Backport-Sicherheitsupdate bereit. Für Debian Stretch (testing) wird ein Sicherheitsupdate für RabbitMQ auf Version 3.6.6 zur Verfügung gestellt. Patch: Debian Security Advisory DSA-3761-1 https://www.debian.org/security/2017/dsa-3761

Patch:

openSUSE Security Advisory openSUSE-SU-2017:0306-1

http://lists.opensuse.org/opensuse-updates/2017-01/msg00151.html

Patch:

Fedora Security Update FEDORA-2017-25fe7ab217 (Fedora 25,
rabbitmq-server-3.6.6-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-25fe7ab217

CVE-2016-9877: Schwachstelle in RabbitMQ ermöglicht Erlangen von
Benutzerrechten

In Pivotal RabbitMQ 3.x vor Version 3.5.8 und 3.6.x vor 3.6.6 sowie RabbitMQ
for PCF 1.5.x vor 1.5.20, 1.6.x vor 1.6.12 und 1.7.x vor 1.7.7 existiert
eine Schwachstelle. Die MQTT (MQ Telemetry Transport)
Verbindungsauthentisierung mit Benutzername / Passwort ist erfolgreich, wenn
ein existierender Benutzername übermittelt, aber das Passwort bei der
Verbindungsanfrage ausgelassen wird. Verbindungen mit TLS und
Client-Zertifikat sind nicht betroffen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0066/

Schwachstelle CVE-2016-9877 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9877

Debian Security Advisory DSA-3761-1:
https://www.debian.org/security/2017/dsa-3761

openSUSE Security Advisory openSUSE-SU-2017:0306-1:
http://lists.opensuse.org/opensuse-updates/2017-01/msg00151.html

Fedora Security Update FEDORA-2017-25fe7ab217 (Fedora 25,
rabbitmq-server-3.6.6-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-25fe7ab217

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.