Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (31.05.2017):
Für Fedora EPEL 7 steht ein Sicherheitsupdate auf Mosquitto 1.4.12 im
Status ‘testing’ bereit.
Version 1 (30.05.2017):
Neues Advisory

Betroffene Software:

Mosquitto >= 0.15
Mosquitto < 1.4.12 Betroffene Plattformen: Debian Linux 8.8 Jessie Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 Extra Packages for Red Hat Enterprise Linux 7 Ein entfernter oder lokaler, einfach authentisierter Angreifer kann eine Schwachstelle in Mosquitto ausnutzen, um Zugriffssteuerungslisten (Access Control Lists, ACLs) zu umgehen und dadurch möglicherweise sensitive Informationen auszuspähen. Der Hersteller behebt die Schwachstelle mit einem Sicherheitsupdate von Mosquitto auf Version 1.4.12. Ab dieser Programmversion können Clients, die die Zeichen '#', '+' oder '/' im Namen verwenden, keine Nachrichten mehr senden oder empfangen, für die musterbasierte Zugriffssteuerungslisten (Pattern based ACLs) verwenden werden oder für die Plugins von Drittanbietern solche Zugriffsprüfungen übernehmen. Für Fedora 24, 25 und 26 stehen Sicherheitsupdates auf Mosquitto 1.4.12 im Status 'pending' bereit. Debian adressiert die Schwachstelle für die stabile Distribution Jessie über ein Backport-Sicherheitsupdate. Patch: Debian Security Advisory DSA-3865-1 https://www.debian.org/security/2017/dsa-3865

Patch:

Fedora Security Update FEDORA-2017-486a536b62 (mosquitto-1.4.12-1.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-486a536b62

Patch:

Fedora Security Update FEDORA-2017-59f85fef2c (mosquitto-1.4.12-1.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-59f85fef2c

Patch:

Fedora Security Update FEDORA-2017-c2113aacd2 (mosquitto-1.4.12-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-c2113aacd2

Patch:

Fedora Security Update FEDORA-EPEL-2017-30c96f21ef (mosquitto-1.4.12-1.el7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-30c96f21ef

Patch:

Mosquitto Security Advisory CVE-2017-7650

http://mosquitto.org/2017/05/security-advisory-cve-2017-7650/

CVE-2017-7650: Schwachstelle in Mosquitto ermöglicht Umgehen von
Sicherheitsvorkehrungen

Clients, die als Benutzernamen oder Client ID die Zeichen ‘#’ oder ‘+’
verwenden, können musterbasierte (Pattern based) Zugriffssteuerungslisten
(Access Control Lists, ACLs) umgehen. Dadurch ist der unbeschränkte Zugriff
auf Message Queue Telemetry Transport (MQTM)-Topics möglich. Topics sind
UTF8-Zeichenketten, die vom Broker verwendet werden, um Nachrichten für
verbundene Clients zu filtern.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0935/

Debian Security Advisory DSA-3865-1:
https://www.debian.org/security/2017/dsa-3865

Fedora Security Update FEDORA-2017-486a536b62 (mosquitto-1.4.12-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-486a536b62

Fedora Security Update FEDORA-2017-59f85fef2c (mosquitto-1.4.12-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-59f85fef2c

Fedora Security Update FEDORA-2017-c2113aacd2 (mosquitto-1.4.12-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-c2113aacd2

Fedora Security Update FEDORA-EPEL-2017-30c96f21ef (mosquitto-1.4.12-1.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-30c96f21ef

Mosquitto Security Advisory CVE-2017-7650:
http://mosquitto.org/2017/05/security-advisory-cve-2017-7650/

Schwachstelle CVE-2017-7650 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7650

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.