UPDATE: DFN-CERT-2017-0815 Microsoft .NET Framework: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Apple][Windows]

UPDATE: DFN-CERT-2017-0815 Microsoft .NET Framework: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (12.05.2017):
Microsoft aktualisiert seine Sicherheitsmeldung 4021279, allerdings
bislang nur in der englischen Fassung, und nennt darin nun insgesamt vier
Schwachstellen in .NET Core und ASP.NET Core die von einem möglicherweise
entfernten, nicht authentisierten Angreifer zur Durchführung eines
Denial-of-Service (DoS)-Angriffs, dem Umgehen von Sicherheitsvorkehrungen,
Darstellen falscher Informationen (Spoofing) sowie einer
Privilegieneskalation ausgenutzt werden können. Die fehlerbereinigten
Versionen der Pakete sind aus der Sicherheitsmeldung ersichtlich.
Version 1 (10.05.2017):
Neues Advisory

Betroffene Software:

.NET Core
Microsoft .NET Framework 2.0 SP2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5.1
Microsoft .NET Framework 4.5.2
Microsoft .NET Framework 4.6
Microsoft .NET Framework 4.6.1
Microsoft .NET Framework 4.6.2
Microsoft .NET Framework 4.7
ASP.NET Core

Betroffene Plattformen:

Apple Mac OS X
GNU/Linux
Microsoft Windows 7 SP1 x64
Microsoft Windows 7 SP1 x86
Microsoft Windows 8.1 x64
Microsoft Windows 8.1 x86
Microsoft Windows 10 x64
Microsoft Windows 10 x86
Microsoft Windows 10 x64 v1511
Microsoft Windows 10 x86 v1511
Microsoft Windows 10 x64 v1607
Microsoft Windows 10 x86 v1607
Microsoft Windows 10 x64 v1703
Microsoft Windows 10 x86 v1703
Microsoft Windows RT 8.1
Microsoft Windows Server 2008 SP2 Itanium
Microsoft Windows Server 2008 SP2 x64
Microsoft Windows Server 2008 SP2 x86
Microsoft Windows Server 2008 R2 SP1 x64 Server Core Installation
Microsoft Windows Server 2008 R2 SP1 Itanium
Microsoft Windows Server 2008 R2 SP1 x64
Microsoft Windows Server 2012
Microsoft Windows Server 2012 Server Core Installation
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 Server Core Installation
Microsoft Windows Server 2016
Microsoft Windows Server 2016 Server Core Installation

Eine Schwachstelle im Microsoft .NET Framework ermöglicht einem entfernten,
einfach authentisierten Angreifer die Zertifikatsvalidierung in .NET
Framework-Komponenten zu umgehen.

Das von Microsoft bereitgestellte Sicherheitsupdate behebt diese
Schwachstelle, indem sichergestellt wird, dass die .NET Framework (und .NET
Core)-Komponenten Zertifikate vollständig validieren.

Außerdem veröffentlicht Microsoft die Sicherheitsempfehlung 4021279
(Referenz anbei) und informiert darin über Sicherheitsanfälligkeiten in
öffentlichen .NET Core und ASP.NET Core Versionen. Nähere Informationen
können der angehängten Referenz entnommen werden.

Patch:

Microsoft Security Update Guide

https://portal.msrc.microsoft.com/de-de/security-guidance

Patch:

Microsoft Security Advisory 4021279: Vulnerabilities in .NET Core, ASP.NET
Core Could Allow Elevation of Privilege

https://technet.microsoft.com/en-us/library/security/4021279

CVE-2017-0256: Schwachstelle in .NET Core und ASP.NET Core ermöglicht
Darstellen falscher Informationen

Eine nicht näher beschriebene Schwachstelle in .NET Core und ASP.NET Core
ermöglicht es einem möglicherweise entfernten, nicht authentisierten
Angreifer falsche Informationen darzustellen (Spoofing), wodurch ein
Benutzer verleitet werden könnte Aktionen unter dem Vorwand eines anderen
Kontextes durchzuführen.

CVE-2017-0249: Schwachstelle in .NET Core und ASP.NET Core ermöglicht
Privilegieneskalation

Eine nicht näher beschriebene Schwachstelle in .NET Core und ASP.NET Core
ermöglicht es einem möglicherweise entfernten, nicht authentisierten
Angreifer eine Privilegieneskalation durchzuführen.

CVE-2017-0247: Schwachstelle in .NET Core und ASP.NET Core ermöglicht
Denial-of-Service-Angriff

Eine nicht näher beschriebene Schwachstelle in .NET Core und ASP.NET Core
ermöglicht es einem möglicherweise entfernten, nicht authentisierten
Angreifer einen Denial-of-Service (DoS)-Angriff durchzuführen.

CVE-2017-0248: Schwachstelle in .NET Framework ermöglicht Umgehen von
Sicherheitsvorkehrungen

Aufgrund der unvollständigen Validierung von Zertifikaten besteht eine
Schwachstelle in .NET Framework (und .NET Core)-Komponenten. Ein Angreifer
der diese Schwachstelle erfolgreich ausnutzt, ist in der Lage ein für einen
bestimmten Zweck als ungültig markiertes Zertifikat für eben diesen Zweck zu
verwenden. Ein entfernter, einfach authentisierter Angreifer kann
Sicherheitsvorkehrungen umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0815/

Microsoft Security Update Guide:
https://portal.msrc.microsoft.com/de-de/security-guidance

Microsoft Security Advisory 4021279: Vulnerabilities in .NET Core, ASP.NET
Core Could Allow Elevation of Privilege:
https://technet.microsoft.com/en-us/library/security/4021279

Microsoft Mai 2017 Sicherheitsupdates:
https://portal.msrc.microsoft.com/de-de/security-guidance/releasenotedetail/bc365363-f51e-e711-80da-000d3a32fc99

Microsoft Sicherheitsempfehlung 4021279: Sicherheitsanfälligkeiten in .NET
Core und ASP.NET Core ermöglichen Rechteerweiterungen:
https://technet.microsoft.com/de-de/library/security/4021279

Schwachstelle CVE-2017-0248 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0248

Schwachstelle CVE-2017-0247 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0247

Schwachstelle CVE-2017-0249 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0249

Schwachstelle CVE-2017-0256 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0256

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben