DFN-CERT-2017-0792 Radicale: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Fedora]

DFN-CERT-2017-0792 Radicale: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Radicale < 1.1.2 Betroffene Plattformen: Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 Extra Packages for Red Hat Enterprise Linux 7 Ein entfernter, nicht authentisierter Angreifer kann verschiedene Angriffe gegen Radicale ausführen, um dadurch sensitive Benutzerinformationen (Benutzername, Passwort) auszuspähen. Der Hersteller stellt Radicale 1.1.2 als Sicherheitsupdate zur Behebung der Schwachstelle bereit. Für Fedora 24, 25 und 26 sowie für Fedora EPEL 7 stehen Sicherheitsupdates auf diese Version im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-2017-2ab5baea0a (radicale-1.1.2-1.fc25) https://bodhi.fedoraproject.org/updates/FEDORA-2017-2ab5baea0a

Patch:

Fedora Security Update FEDORA-2017-863f86e7a9 (radicale-1.1.2-1.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-863f86e7a9

Patch:

Fedora Security Update FEDORA-2017-cdc7caed36 (radicale-1.1.2-1.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-cdc7caed36

Patch:

Fedora Security Update FEDORA-EPEL-2017-bb8576affa (radicale-1.1.2-1.el7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-bb8576affa

Patch:

Radicale 1.1.2 Release Notes

https://github.com/Kozea/Radicale/blob/1.1.2/NEWS.rst

CVE-2017-8342: Schwachstelle in Radicale ermöglicht Ausspähen von
Informationen

Bei Verwendung der Authentifizierungsmethode ‘htpasswd’ ist Radicale vor
Version 1.1.2 für verschiedene Angriffe anfällig, durch die Zugangsdaten von
Benutzern offenlegt werden können (Timing Oracles, Brute-Force).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0792/

Schwachstelle CVE-2017-8342 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8342

Fedora Security Update FEDORA-2017-2ab5baea0a (radicale-1.1.2-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-2ab5baea0a

Fedora Security Update FEDORA-2017-863f86e7a9 (radicale-1.1.2-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-863f86e7a9

Fedora Security Update FEDORA-2017-cdc7caed36 (radicale-1.1.2-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-cdc7caed36

Fedora Security Update FEDORA-EPEL-2017-bb8576affa (radicale-1.1.2-1.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-bb8576affa

Radicale 1.1.2 Release Notes:
https://github.com/Kozea/Radicale/blob/1.1.2/NEWS.rst

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben