DFN-CERT-2012-1737 Schwachstelle in Beaker [Linux][Debian]

DFN-CERT-2012-1737 Schwachstelle in Beaker [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket beaker in Debian GNU/Linux 6.0 (squeeze) vor Version 1.5.4-4+squeeze1
Paket beaker in Debian GNU/Linux 7.0 (wheezy) vor Version 1.6.3-1.1
Paket beaker in Debian GNU/Linux unstable (sid) vor Version 1.6.3-1.1

Betroffene Plattformen:

Debian GNU/Linux 6.0 (squeeze)
Debian GNU/Linux 7.0 (wheezy)
Debian GNU/Linux unstable (sid)

Eine Schwachstelle in Beaker erlaubt einem Angreifer schlimmstenfalls den
Zugriff auf vertrauliche Daten bezüglich der Sitzung.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://security.debian.org/pool/updates/main/

CVE-2012-3458: Schwachstelle in Beaker

In Beaker, falls python-crypto als Backend für Verschlüsselung verwendet
wird, wird als Betriebsart für die symmetrische Verschlüsselung ECB
(Electronic Code Book) benutzt. Dies hat zur Folge, dass gleiche
Klartextblöcke den selben Chiffretext ergeben. Einem entfernten Angreifer,
der in der Lage ist die Eingaben zu kontrollieren und Teile der Struktur zu
erraten, kann prüfen, ob Teile der Sitzung einen speziellen Wert enthalten.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1737/

Das Hersteller Advisory:
http://www.debian.org/security/2012/dsa-2541

Schwachstelle CVE-2012-3458:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3458

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben