Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (24.01.2018):
Für Fedora 26 und 27 sowie für Fedora EPEL 7 stehen aktualisierte
Sicherheitsupdates in Form von ‘transmission-2.92-12’-Paketen im Status
‘testing’ zur Verfügung. Die Sicherheitsupdates
FEDORA-EPEL-2018-c0d5d190b0 und FEDORA-2018-b166805347 für Fedora EPEL 7
und Fedora 26 ersetzen die früheren FEDORA-EPEL-2018-85e532c970 und
FEDORA-2018-b3d58d82a0, welche in den Status ‘obsolete’ versetzt und
deshalb hier entfernt wurden. Mit Sicherheitsupdate FEDORA-2018-499a02cc9d
für Fedora 27 wird ebenfalls auf OpenSSL 1.1 aktualisiert, das frühere
FEDORA-2018-d1e263e68e verbleibt im Status ‘stable’.
Version 3 (17.01.2018):
Canonical adressiert die Schwachstelle mittels Sicherheitsupdates für
Ubuntu 14.04 LTS, Ubuntu 16.04 LTS und Ubuntu 17.10.
Version 2 (17.01.2018):
Für Fedora 27 und Fedora EPEL 7 stehen ebenfalls
Backport-Sicherheitsupdates in Form von ‘transmission-2.92-11’-Paketen
bereit, welche sich derzeit im Status ‘testing’ befinden.
Version 1 (16.01.2018):
Neues Advisory

Betroffene Software:

Transmission

Betroffene Plattformen:

Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 16.04 LTS
Canonical Ubuntu Linux 17.10
Debian Linux 8.10 Jessie
Debian Linux 9.3 Stretch
Red Hat Fedora 26
Red Hat Fedora 27
Extra Packages for Red Hat Enterprise Linux 7

Eine Schwachstelle ermöglicht einem entfernten, nicht authentisierten
Angreifer die Ausführung beliebigen Programmcodes mit Hilfe einer
manipulierten Webseite. Voraussetzung ist, dass der Benutzer diese Webseite
für etwa 20 Minuten geöffnet hat.

Bislang gibt es kein offizielles Release für Transmission, welches die
Schwachstelle behebt. Die Behebung der Schwachstelle ist in der nächsten
Version 2.93 angekündigt. Debian stellt für die Distributionen Jessie
(oldstable) 8.10 und Stretch (stable) 9.3 Backport-Sicherheitsupdates zur
Behebung der Schwachstelle zur Verfügung. Für Fedora 26 steht ebenfalls ein
Backport-Sicherheitsupdate im Status ‘pending’ zur Verfügung.

Patch:

Debian Security Advisory DSA-4087-1

https://www.debian.org/security/2018/dsa-4087

Patch:

Fedora Security Update FEDORA-2018-d1e263e68e (Fedora 27,
transmission-2.92-11.fc27)

https://bodhi.fedoraproject.org/updates/FEDORA-2018-d1e263e68e

Patch:

Ubuntu Security Notice USN-3533-1

http://www.ubuntu.com/usn/usn-3533-1/

Patch:

Fedora Security Update FEDORA-2018-499a02cc9d (Fedora 27,
transmission-2.92-12.fc27)

https://bodhi.fedoraproject.org/updates/FEDORA-2018-499a02cc9d

Patch:

Fedora Security Update FEDORA-2018-b166805347 (Fedora 26,
transmission-2.92-12.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2018-b166805347

Patch:

Fedora Security Update FEDORA-EPEL-2018-c0d5d190b0 (Fedora EPEL 7,
transmission-2.92-12.el7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2018-c0d5d190b0

CVE-2018-5702: Schwachstelle in Transmission ermöglicht u.a. Ausführung
beliebigen Programmcodes

Der Bittorrent-Client Transmission nutzt die sogenannte
‘X-Transmission-Session-ID’ zur Steuerung der Zugriffskontrolle. Mit Hilfe
eines DNS-Rebind-Angriffes kann ein entfernter, nicht authentisierter
Angreifer Sicherheitsvorkehrungen umgehen und Remote Procedure Call
(RPC)-Kommandos an den Bittorrent-Client senden. Dazu muss der Angreifer
einen Benutzer dazu verleiten, eine solche Website zu öffnen und etwa 20
Minuten lang geöffnet zu lassen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0094/

Debian Security Advisory DSA-4087-1:
https://www.debian.org/security/2018/dsa-4087

Fedora Security Update FEDORA-2018-d1e263e68e (Fedora 27,
transmission-2.92-11.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-d1e263e68e

Schwachstelle CVE-2018-5702 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5702

Ubuntu Security Notice USN-3533-1:
http://www.ubuntu.com/usn/usn-3533-1/

Fedora Security Update FEDORA-2018-499a02cc9d (Fedora 27,
transmission-2.92-12.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-499a02cc9d

Fedora Security Update FEDORA-2018-b166805347 (Fedora 26,
transmission-2.92-12.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-b166805347

Fedora Security Update FEDORA-EPEL-2018-c0d5d190b0 (Fedora EPEL 7,
transmission-2.92-12.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2018-c0d5d190b0

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (17.01.2018):
Canonical adressiert die Schwachstelle mittels Sicherheitsupdates für
Ubuntu 14.04 LTS, Ubuntu 16.04 LTS und Ubuntu 17.10.
Version 2 (17.01.2018):
Für Fedora 27 und Fedora EPEL 7 stehen ebenfalls
Backport-Sicherheitsupdates in Form von ‘transmission-2.92-11’-Paketen
bereit, welche sich derzeit im Status ‘testing’ befinden.
Version 1 (16.01.2018):
Neues Advisory

Betroffene Software:

Transmission

Betroffene Plattformen:

Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 16.04 LTS
Canonical Ubuntu Linux 17.10
Debian Linux 8.10 Jessie
Debian Linux 9.3 Stretch
Red Hat Fedora 26
Red Hat Fedora 27
Extra Packages for Red Hat Enterprise Linux 7

Eine Schwachstelle ermöglicht einem entfernten, nicht authentisierten
Angreifer die Ausführung beliebigen Programmcodes mit Hilfe einer
manipulierten Webseite. Voraussetzung ist, dass der Benutzer diese Webseite
für etwa 20 Minuten geöffnet hat.

Bislang gibt es kein offizielles Release für Transmission, welches die
Schwachstelle behebt. Die Behebung der Schwachstelle ist in der nächsten
Version 2.93 angekündigt. Debian stellt für die Distributionen Jessie
(oldstable) 8.10 und Stretch (stable) 9.3 Backport-Sicherheitsupdates zur
Behebung der Schwachstelle zur Verfügung. Für Fedora 26 steht ebenfalls ein
Backport-Sicherheitsupdate im Status ‘pending’ zur Verfügung.

Patch:

Debian Security Advisory DSA-4087-1

https://www.debian.org/security/2018/dsa-4087

Patch:

Fedora Security Update FEDORA-2018-b3d58d82a0 (Fedora 26,
transmission-2.92-11.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2018-b3d58d82a0

Patch:

Fedora Security Update FEDORA-2018-d1e263e68e (Fedora 27,
transmission-2.92-11.fc27)

https://bodhi.fedoraproject.org/updates/FEDORA-2018-d1e263e68e

Patch:

Fedora Security Update FEDORA-EPEL-2018-85e532c970 (Fedora EPEL 7,
transmission-2.92-11.el7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2018-85e532c970

Patch:

Ubuntu Security Notice USN-3533-1

http://www.ubuntu.com/usn/usn-3533-1/

CVE-2018-5702: Schwachstelle in Transmission ermöglicht u.a. Ausführung
beliebigen Programmcodes

Der Bittorrent-Client Transmission nutzt die sogenannte
‘X-Transmission-Session-ID’ zur Steuerung der Zugriffskontrolle. Mit Hilfe
eines DNS-Rebind-Angriffes kann ein entfernter, nicht authentisierter
Angreifer Sicherheitsvorkehrungen umgehen und Remote Procedure Call
(RPC)-Kommandos an den Bittorrent-Client senden. Dazu muss der Angreifer
einen Benutzer dazu verleiten, eine solche Website zu öffnen und etwa 20
Minuten lang geöffnet zu lassen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0094/

Debian Security Advisory DSA-4087-1:
https://www.debian.org/security/2018/dsa-4087

Fedora Security Update FEDORA-2018-b3d58d82a0 (Fedora 26,
transmission-2.92-11.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-b3d58d82a0

Fedora Security Update FEDORA-2018-d1e263e68e (Fedora 27,
transmission-2.92-11.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-d1e263e68e

Fedora Security Update FEDORA-EPEL-2018-85e532c970 (Fedora EPEL 7,
transmission-2.92-11.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2018-85e532c970

Schwachstelle CVE-2018-5702 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5702

Ubuntu Security Notice USN-3533-1:
http://www.ubuntu.com/usn/usn-3533-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (17.01.2018):
Für Fedora 27 und Fedora EPEL 7 stehen ebenfalls
Backport-Sicherheitsupdates in Form von ‘transmission-2.92-11’-Paketen
bereit, welche sich derzeit im Status ‘testing’ befinden.
Version 1 (16.01.2018):
Neues Advisory

Betroffene Software:

Transmission

Betroffene Plattformen:

Debian Linux 8.10 Jessie
Debian Linux 9.3 Stretch
Red Hat Fedora 26
Red Hat Fedora 27
Extra Packages for Red Hat Enterprise Linux 7

Eine Schwachstelle ermöglicht einem entfernten, nicht authentisierten
Angreifer die Ausführung beliebigen Programmcodes mit Hilfe einer
manipulierten Webseite. Voraussetzung ist, dass der Benutzer diese Webseite
für etwa 20 Minuten geöffnet hat.

Bislang gibt es kein offizielles Release für Transmission, welches die
Schwachstelle behebt. Die Behebung der Schwachstelle ist in der nächsten
Version 2.93 angekündigt. Debian stellt für die Distributionen Jessie
(oldstable) 8.10 und Stretch (stable) 9.3 Backport-Sicherheitsupdates zur
Behebung der Schwachstelle zur Verfügung. Für Fedora 26 steht ebenfalls ein
Backport-Sicherheitsupdate im Status ‘pending’ zur Verfügung.

Patch:

Debian Security Advisory DSA-4087-1

https://www.debian.org/security/2018/dsa-4087

Patch:

Fedora Security Update FEDORA-2018-b3d58d82a0 (Fedora 26,
transmission-2.92-11.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2018-b3d58d82a0

Patch:

Fedora Security Update FEDORA-2018-d1e263e68e (Fedora 27,
transmission-2.92-11.fc27)

https://bodhi.fedoraproject.org/updates/FEDORA-2018-d1e263e68e

Patch:

Fedora Security Update FEDORA-EPEL-2018-85e532c970 (Fedora EPEL 7,
transmission-2.92-11.el7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2018-85e532c970

CVE-2018-5702: Schwachstelle in Transmission ermöglicht u.a. Ausführung
beliebigen Programmcodes

Der Bittorrent-Client Transmission nutzt die sogenannte
‘X-Transmission-Session-ID’ zur Steuerung der Zugriffskontrolle. Mit Hilfe
eines DNS-Rebind-Angriffes kann ein entfernter, nicht authentisierter
Angreifer Sicherheitsvorkehrungen umgehen und Remote Procedure Call
(RPC)-Kommandos an den Bittorrent-Client senden. Dazu muss der Angreifer
einen Benutzer dazu verleiten, eine solche Website zu öffnen und etwa 20
Minuten lang geöffnet zu lassen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0094/

Debian Security Advisory DSA-4087-1:
https://www.debian.org/security/2018/dsa-4087

Fedora Security Update FEDORA-2018-b3d58d82a0 (Fedora 26,
transmission-2.92-11.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-b3d58d82a0

Fedora Security Update FEDORA-2018-d1e263e68e (Fedora 27,
transmission-2.92-11.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-d1e263e68e

Fedora Security Update FEDORA-EPEL-2018-85e532c970 (Fedora EPEL 7,
transmission-2.92-11.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2018-85e532c970

Schwachstelle CVE-2018-5702 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5702

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.