Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Bouncy Castle

Betroffene Plattformen:

Debian Linux 8.7 Jessie
Debian Linux 9.0 Stretch

Eine Schwachstelle in Bouncy Castle ermöglicht einem entfernten, nicht
authentisierten Angreifer Informationen auszuspähen.

Debian stellt für die Distributionen Jessie (stable) und Stretch (upcoming
stable) aktualisierte ‘bouncycastle’-Pakete als Sicherheitsupdates bereit.

Patch:

Debian Security Advisory DSA-3829-1

https://www.debian.org/security/2017/dsa-3829

CVE-2015-6644: Schwachstelle in Bouncy Castle ermöglicht Ausspähen von
Informationen

Es existiert eine Schwachstelle in Bouncy Castle, wie unter anderem
verwendet in Google Android 4.4.4, 5.0 und 5.1.1 vor Version LMY48Z sowie
6.0 und 6.0.1 vor Version 2016-01-01. Diese ermöglicht es einer bösartigen,
lokal installierten Applikation private Informationen des Benutzer
auszuspähen. Ein entfernter, nicht authentifizierter Angreifer, der in der
Lage ist einen Benutzer zur Installation einer manipulierten Anwendung zu
verleiten, kann die Schwachstelle ausnutzen, um Informationen auszuspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0645/

Schwachstelle CVE-2015-6644 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6644

Debian Security Advisory DSA-3829-1:
https://www.debian.org/security/2017/dsa-3829

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.