Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 2 (14.07.2017):
Für Fedora 25 und 26 sowie für Fedora EPEL 6 und 7 steht Heimdal in der
Version 7.4.0 als Sicherheitsupdate im Status ‘testing’ bereit.
Version 1 (12.07.2017):
Neues Advisory
Betroffene Software:
Heimdal
Betroffene Plattformen:
FreeBSD < 10.3-RELEASE-p20 FreeBSD 10.3-STABLE FreeBSD < 11.0-RELEASE-p11 FreeBSD < 11.1-BETA3-p1 FreeBSD < 11.1-PRERELEASE FreeBSD < 11.1-RC1-p1 FreeBSD < 11.1-RC2-p1 Red Hat Fedora 25 Red Hat Fedora 26 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Ein entfernter, nicht authentisierter Angreifer, welcher die Kontrolle über das Netzwerk zwischen einem Client und einem Dienst hat, mit dem dieser spricht, kann eine Schwachstelle in Heimdal ausnutzen, um sich als der betreffende Dienst auszugeben. Dadurch ist ein Man-in-the-Middle (MitM)-Angriff möglich, in welchem die erforderliche Authentisierung umgangen wird, und somit eine vollständige Kompromittierung beispielsweise des betroffenen Benutzeraccounts die Folge ist. Die Schwachstelle ist unter dem Namen 'Orpheus' Lyre' bekannt. Für die FreeBSD Version 10.3-STABLE steht ein Sicherheitsupdate zur Verfügung. Zusätzlich veröffentlicht das FreeBSD Project die korrigierten Versionen 11.1-PRERELEASE, 11.1-RC2-p1, 11.1-RC1-p1, 11.1-BETA3-p1 11.0-RELEASE-p11 und 10.3-RELEASE-p20 um diese Schwachstelle zu beheben. Nach dem Update wird ein Neustart des Systems empfohlen. Patch: FreeBSD Security Advisory FreeBSD-SA-17:05.heimdal http://www.freebsd.org/security/advisories/FreeBSD-SA-17%3A05.heimdal.asc
Patch:
Fedora Security Update FEDORA-2017-2afe501b36 (Fedora 26,
heimdal-7.4.0-1.f26)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-2afe501b36
Patch:
Fedora Security Update FEDORA-2017-5d6a9e0c9c (Fedora 25,
heimdal-7.4.0-1.f25)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-5d6a9e0c9c
Patch:
Fedora Security Update FEDORA-EPEL-2017-47be021843 (Fedora EPEL 7,
heimdal-7.4.0-1.el7)
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-47be021843
Patch:
Fedora Security Update FEDORA-EPEL-2017-e8124f23c8 (Fedora EPEL 6,
heimdal-7.4.0-1.el6)
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-e8124f23c8
CVE-2017-11103: Schwachstelle in Heimdal ermöglicht vollständige
Kompromittierung des Dienstes
In der Heimdal-Implementierung des Kerberos 5 Network Authentication
Protocols, welches zur Authentisierung eines Clients gegenüber einem Dienst
dient, existiert eine kritische Schwachstelle. Aufgrund eines
Programmierfehlers wird eine nicht authentisierte Klartextversion des Namens
eines Key Distribution Center (KDC)-REP Dienstes aus einem Ticket
akzeptiert.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1206/
FreeBSD Security Advisory FreeBSD-SA-17:05.heimdal:
http://www.freebsd.org/security/advisories/FreeBSD-SA-17%3A05.heimdal.asc
Orpheus’ Lyre puts Kerberos to Sleep: CVE-2017-11103 (Heimdal):
https://www.orpheus-lyre.info/
Schwachstelle CVE-2017-11103 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-11103
Fedora Security Update FEDORA-2017-2afe501b36 (Fedora 26, heimdal-7.4.0-1.f26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-2afe501b36
Fedora Security Update FEDORA-2017-5d6a9e0c9c (Fedora 25, heimdal-7.4.0-1.f25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-5d6a9e0c9c
Fedora Security Update FEDORA-EPEL-2017-47be021843 (Fedora EPEL 7,
heimdal-7.4.0-1.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-47be021843
Fedora Security Update FEDORA-EPEL-2017-e8124f23c8 (Fedora EPEL 6,
heimdal-7.4.0-1.el6):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-e8124f23c8
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
