[Fedora] Schwachstelle in openconnect vor Version 2.26 – FEDORA-2010-18053

[Fedora] Schwachstelle in openconnect vor Version 2.26 - FEDORA-2010-18053

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2010-3902 – Schwachstelle in OpenConnect Webvpn

OpenConnect vor Version 2.26 behandelt Webvpn Cookies in unsicherer
Weise, da ihre Werte in Debugging-Ausgaben angezeigt werden. Ein
entfernter Angreifer kann diese Schwachstelle ausnutzen, um an
vertrauliche Informationen zu gelangen.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket openconnect

Fedora 14
Fedora 13
Fedora 12

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Detlev O. Matthies

– —

Detlev O. Matthies, M.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-18053
2010-11-22 21:36:19
– ——————————————————————————–

Name : openconnect
Product : Fedora 13
Version : 2.26
Release : 2.fc13
URL : http://www.infradead.org/openconnect.html
Summary : Open client for Cisco AnyConnect VPN
Description :
This package provides a client for Cisco’s “AnyConnect” VPN, which uses
HTTPS and DTLS protocols.

– ——————————————————————————–
Update Information:

This update implements DTLS rekeying, elides the session cookie from
debugging output by default, and fixes a potential crash on relative
HTTP redirect during authentication. It also fixes a problem which
occurs when changing VPN hosts in the NetworkManager auth-dialog, after
the connection to the first host has already been made.
– ——————————————————————————–
ChangeLog:

* Sun Nov 21 2010 David Woodhouse – 2.26-2
– – Fix bug numbers in changelog
* Wed Sep 22 2010 David Woodhouse – 2.26-1
– – Update to 2.26. (#629979: SIGSEGV in nm-openconnect-auth-dialog)
* Sun Aug 1 2010 David Woodhouse – 2.25-1
– – Update to 2.25. (#620219: Check server cert against hostname)
– ——————————————————————————–
References:

[ 1 ] Bug #643414 – CVE-2010-3902 OpenConnect: webvpn cookie content disclosure via debugging output
https://bugzilla.redhat.com/show_bug.cgi?id=643414
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update openconnect’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)

iEYEARECAAYFAkz036kACgkQWmhIvjFb90Wc5gCgiolVeswuTjFDlsLmHjoSDy6i
8aAAn05KXu8xq5AUbOjwVzKKpkF/gqUF
=IFY5
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben