UPDATE: DFN-CERT-2017-1145 Apache Subversion: Eine Schwachstelle ermöglicht die Manipulation von Daten [Linux][Fedora]

UPDATE: DFN-CERT-2017-1145 Apache Subversion: Eine Schwachstelle ermöglicht die Manipulation von Daten [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (10.07.2017):
Für Fedora 25 und 26 steht Subversion 1.9.6 als Sicherheits-
beziehungsweise Bug Fix Update im Status ‘testing’ bereit.
Version 1 (04.07.2017):
Neues Advisory

Betroffene Software:

Apache Software Foundation Subversion < 1.8.18 Apache Software Foundation Subversion < 1.9.6 Apache Software Foundation Subversion < 1.10.0 Betroffene Plattformen: GNU/Linux Red Hat Fedora 25 Red Hat Fedora 26 Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe einer SHA-1-Kollision Daten manipulieren oder die Echtheit von Daten vortäuschen. Die Apache Software Foundation bestätigt, dass Repositories in Apache Subversion Servern bis inklusive Version 1.9.5 für solche Angriffe verwundbar sind, da dort entsprechend präparierte Dateien fälschlicherweise als andere Dateien abgespeichert werden können. Die Versionen 1.8.18 und 1.9.6 stehen als Sicherheitsupdates zur Verfügung. Version 1.10.0 ist ebenfalls nicht verwundbar. Patch: Apache Subversion Security Advisory Apache Subversion is unable to store SHA1 collisions https://subversion.apache.org/security/sha1-advisory.txt

Patch:

Fedora Bugfix Update FEDORA-2017-704c201dbb (Fedora 26,
subversion-1.9.6-1.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-704c201dbb

Patch:

Fedora Security Update FEDORA-2017-b9e4c24094 (Fedora 25,
subversion-1.9.6-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-b9e4c24094

CVE-2005-4900: Schwachstelle in SHA-1 ermöglicht Manipulation von Daten

Die Hashfunktion SHA-1 ist nicht kollisionsresistent, wodurch für
kontextabhängige Angreifer die Durchführung von Spoofing-Angriffen
erleichtert wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1145/

Schwachstelle CVE-2005-4900 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2005-4900

Apache Subversion Security Advisory Apache Subversion is unable to store SHA1
collisions:
https://subversion.apache.org/security/sha1-advisory.txt

Fedora Bugfix Update FEDORA-2017-704c201dbb (Fedora 26,
subversion-1.9.6-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-704c201dbb

Fedora Security Update FEDORA-2017-b9e4c24094 (Fedora 25,
subversion-1.9.6-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-b9e4c24094

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben