UPDATE: DFN-CERT-2016-1929 Monit: Eine Schwachstelle ermöglicht einen Cross-Site-Request-Forgery-Angriff [Linux][Fedora][SuSE]

UPDATE: DFN-CERT-2016-1929 Monit: Eine Schwachstelle ermöglicht einen Cross-Site-Request-Forgery-Angriff [Linux][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (28.12.2017):
Für Fedora 26 und 27 sowie für Fedora EPEL 6 und 7 stehen
Sicherheitsupdates in Form des Pakets ‘monit-5.25.1-1’ im Status ‘testing’
bereit.
Version 1 (23.11.2016):
Neues Advisory

Betroffene Software:

Monit < 5.20.0 Betroffene Plattformen: openSUSE 13.2 openSUSE Leap 42.1 openSUSE Leap 42.2 Red Hat Fedora 26 Red Hat Fedora 27 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Eine Schwachstelle in Monit ermöglicht einem entfernten, nicht authentifizierten Angreifer über einen Cross-Site-Request-Forgery (CSRF)-Angriff die Überwachung eines Hostsystems oder Dienstes gezielt ein- oder auszuschalten. Der Hersteller stellt die Programmversion 5.20.0 bereit, um die Schwachstelle zu beheben. Für openSUSE 13.2 sowie openSUSE Leap 42.1 und 42.2 stehen die jeweiligen Sicherheitsupdates für Monit auf Version 5.20 bereit. Die Monit-Pakete wurden hierbei darüber hinaus so vorbereitet, dass sie ohne Unterstützung von SSLv3 kompiliert werden können, wodurch die unter dem Namen 'POODLE' bekannte Schwachstelle CVE-2014-3566 in Monit behoben wird. Patch: Monit Release Notes 5.20.0 https://www.mmonit.com/monit/changes/

Patch:

openSUSE Security Update openSUSE-SU-2016:2877-1

http://lists.opensuse.org/opensuse-updates/2016-11/msg00097.html

Patch:

Fedora Security Update FEDORA-2017-2d4c9a6e37 (Fedora 27,
monit-5.25.1-1.fc27)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-2d4c9a6e37

Patch:

Fedora Security Update FEDORA-2017-d75a88f263 (Fedora 26,
monit-5.25.1-1.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-d75a88f263

Patch:

Fedora Security Update FEDORA-EPEL-2017-6e4ce19598 (Fedora EPEL 6,
monit-5.25.1-1.el6)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-6e4ce19598

Patch:

Fedora Security Update FEDORA-EPEL-2017-8d57a2487b (Fedora EPEL 7,
monit-5.25.1-1.el7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-8d57a2487b

CVE-2016-7067: Schwachstelle in Monit ermöglicht
Cross-Site-Request-Forgery-Angriff

Die Überwachungssteuerung der HTTP-Dienste ‘ _status’, ‘_status2’,
‘_summary’, ‘_report’, ‘_doaction’ und ‘_viewlog’ ist in Monit über
HTTP-GET-Anfragen implementiert. Dadurch sind die entsprechenden Formulare
im Service Manager anfällig für Cross-Site-Request-Forgery-Angriffe (CSRF).

CVE-2014-3566: POODLE: SSL 3.0 Protokoll, wie z.B. in OpenSSL verwendet,
ermöglicht das Ausspähen von Informationen

Das SSL 3.0 Protokoll, so wie es u.a. von OpenSSL bis Version 1.0.1i
implementiert wird, benutzt nicht deterministisches “Padding”. Padding ist
das Auffüllen der Nachricht mit Bytes bis zur nächsten vollen Blockgrenze
für Kryptoalgorithmen im CBC-Modus (Cipher-Block-Chaining). Dieses Padding
wird nicht durch den MAC (Message Authentication Code), d.h. eine
kryptografische Prüfsumme, überprüft. Der Empfänger von verschlüsselten
Nachrichten kann also die Integrität des Paddings nicht vollständig
überprüfen. Diese Schwäche des SSL 3.0 Protokolls kann von einem entfernten,
nicht authentifizierten Angreifer in einem Man-in-the-middle-Angriff
ausgenutzt werden, um Teile der Nachricht im Klartext zu erhalten, indem er
das Padding entsprechend modifiziert (Padding-Oracle-Angriff). Diese
Protokollschwäche wurde von seinen Entdeckern “POODLE” getauft.

Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
schwer ausnutzbare Schwachstelle in der Subkomponente Core (OpenSSL) der
Komponente Endeca Server in der Oracle Fusion Middleware sowie in der
DBMS_LDAP Komponente des Oracle Database Servers. Ein entfernter, nicht
authentisierter Angreifer, der Netzwerkzugriff über HTTPS bzw. LDAP hat,
kann durch das Ausnutzen der Schwachstelle den Endeca Server bzw. die
Komponente DBMS_LDAP des Oracle Database Servers kompromittieren und so
unerlaubt lesend auf eine Untermenge der über den Endeca Server bzw.
DBMS_LDAP erreichbaren Daten zugreifen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1929/

Schwachstelle CVE-2014-3566 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3566

Monit Release Notes 5.20.0:
https://www.mmonit.com/monit/changes/

openSUSE Security Update openSUSE-SU-2016:2877-1:
http://lists.opensuse.org/opensuse-updates/2016-11/msg00097.html

Schwachstelle CVE-2016-7067 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7067

Fedora Security Update FEDORA-2017-2d4c9a6e37 (Fedora 27, monit-5.25.1-1.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-2d4c9a6e37

Fedora Security Update FEDORA-2017-d75a88f263 (Fedora 26, monit-5.25.1-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-d75a88f263

Fedora Security Update FEDORA-EPEL-2017-6e4ce19598 (Fedora EPEL 6,
monit-5.25.1-1.el6):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-6e4ce19598

Fedora Security Update FEDORA-EPEL-2017-8d57a2487b (Fedora EPEL 7,
monit-5.25.1-1.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-8d57a2487b

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben