Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 3 (15.01.2018):
Für openSUSE Leap 42.2 und openSUSE Leap 42.3 stehen Sicherheitsupdates
für ‘gwenhywfar’ bereit, um diese Schwachstelle zu beheben.
Version 2 (12.01.2018):
Für die SUSE Linux Enterprise Produkte Workstation Extension, Software
Development Kit und Desktop in den Versionen 12 SP2 und 12 SP3 stehen
Sicherheitsupdates für ‘gwenhywfar’ bereit, um die Schwachstelle zu
beheben.
Version 1 (14.12.2015):
Neues Advisory
Betroffene Software:
Gwenhywfar <= 4.13.1 Betroffene Plattformen: SUSE Linux Enterprise Software Development Kit 12 SP2 SUSE Linux Enterprise Software Development Kit 12 SP3 SUSE Linux Enterprise Workstation Extension 12 SP2 SUSE Linux Enterprise Workstation Extension 12 SP3 openSUSE Leap 42.2 openSUSE Leap 42.3 SUSE Linux Enterprise Desktop 12 SP2 SUSE Linux Enterprise Desktop 12 SP3 Red Hat Fedora 22 Red Hat Fedora 23 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Durch Ausnutzen einer Schwachstelle kann ein entfernter, nicht authentisierter Angreifer im ersten Schritt Sicherheitsvorkehrungen umgehen und in der Folge nicht näher spezifizierte Angriffe durchführen. Für Fedora 22 und 23 sowie EPEL 6 und 7 stehen Sicherheitsupdates in Form der Pakete gwenhywfar-4.13.1-5.fc22, gwenhywfar-4.13.1-5.fc23, gwenhywfar-4.13.1-2.el6 und gwenhywfar-4.13.1-2.el7 im Status 'testing' zur Verfügung. Patch: Fedora Security Update FEDORA-2015-20df66892b (Fedora 22) https://bodhi.fedoraproject.org/updates/FEDORA-2015-20df66892b
Patch:
Fedora Security Update FEDORA-2015-277cc63d9f (Fedora 23)
https://bodhi.fedoraproject.org/updates/FEDORA-2015-277cc63d9f
Patch:
Fedora Security Update FEDORA-EPEL-2015-0272adfe4b (EPEL 7)
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-0272adfe4b
Patch:
Fedora Security Update FEDORA-EPEL-2015-4ea455db6d (EPEL 6)
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-4ea455db6d
Patch:
SUSE Security Update SUSE-SU-2018:0072-1
http://lists.suse.com/pipermail/sle-security-updates/2018-January/003590.html
Patch:
openSUSE Security Update openSUSE-SU-2018:0094-1
https://lists.opensuse.org/opensuse-updates/2018-01/msg00038.html
CVE-2015-7542: Schwachstelle Gwenhywfar erlaubt Umgehen von
Sicherheitvorkehrungen
In Gwenhywfar (alle Versionen von Fedora und EPEL) existiert eine
Schwachstelle aufgrund der Verwendung eines alten, im Paket enthaltenen
CA-Zertifikates (Version 1.87). Dadurch ist es möglich
Sicherheitsvorkehrungen zu umgehen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1929/
Schwachstelle CVE-2015-7542 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7542
Fedora Security Update FEDORA-2015-20df66892b (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-20df66892b
Fedora Security Update FEDORA-2015-277cc63d9f (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-277cc63d9f
Fedora Security Update FEDORA-EPEL-2015-0272adfe4b (EPEL 7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-0272adfe4b
Fedora Security Update FEDORA-EPEL-2015-4ea455db6d (EPEL 6):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-4ea455db6d
SUSE Security Update SUSE-SU-2018:0072-1:
http://lists.suse.com/pipermail/sle-security-updates/2018-January/003590.html
openSUSE Security Update openSUSE-SU-2018:0094-1:
https://lists.opensuse.org/opensuse-updates/2018-01/msg00038.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
